Microsoft Sentinel 用 Derdack SIGNL4 コネクタ

  • [アーティクル]

重要なシステムで障害が発生したり、セキュリティ インシデントが発生したりすると、SIGNL4 では、現場のスタッフ、エンジニア、IT 管理者、作業者までの "ラスト マイル" を橋渡しします。 リアルタイムのモバイル アラートが、サービス、システム、プロセスに瞬時に追加されます。 SIGNL4 では、永続的なモバイル プッシュ、SMS テキストと音声通話を通じて、受信確認、追跡およびエスカレーションを使用して通知します。 職務とシフトのスケジュールを統合することで、適切な人々が適切なタイミングでアラートを確実に受け取れるようにします。

詳細情報 >

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル SIGNL4_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Derdack

クエリのサンプル

SIGNL4 のアラートと状態の情報を取得します。

SecurityIncident

| where Labels contains "SIGNL4"

ベンダーのインストール手順

注意

このデータ コネクタは主に SIGNL4 側で構成されます。 説明ビデオについては、こちらの SIGNL4 と Microsoft Sentinel の統合に関するページを参照してください。

SIGNL4 コネクタ: Microsoft Sentinel、Azure Security Center、およびその他の Azure Graph Security API プロバイダー用の SIGNL4 コネクタでは、Azure Security ソリューションとのシームレスな双方向統合が提供されます。 SIGNL4 チームに追加されると、コネクタにより Azure Graph Security API からセキュリティ アラートが読み取られ、完全に自動的にアラート通知が勤務中のチーム メンバーに対してトリガーされます。 また、アラートの状態が SIGNL4 から Graph Security API に同期されるため、アラートが確認または閉じられた場合、この状態は、Azure Graph Security API アラートまたは対応するセキュリティ プロバイダーでも更新されます。 前述のように、コネクタでは主に Azure Graph Security API が使用されますが、Microsoft Sentinel などの一部のセキュリティ プロバイダーでは、Azure ソリューションに従って専用の REST API も使用されます。

Microsoft Sentinel の機能

Microsoft Sentinel は、Microsoft のクラウド ネイティブ SIEM ソリューションであり、Azure Graph Security API のセキュリティ アラート プロバイダーです。 しかし、Graph Security API で使用できるアラートの詳細レベルは、Microsoft Sentinel では制限されています。 そのため、コネクタでは、基になる Microsoft Sentinel Log Analytics ワークスペースから、さらに詳細 (分析情報ルールの検索結果) を使用してアラートを拡張できます。 これを可能にするために、コネクタでは Azure Log Analytics REST API と通信し、アクセス許可に従う必要があります (以下を参照)。 さらに、関連するすべてのセキュリティ アラート (進行中や解決済みなど) が発生した場合に、アプリで Microsoft Sentinel インシデントの状態を更新することもできます。 これを可能にするには、コネクタは Azure サブスクリプションの "Microsoft Sentinel 共同作成者" グループのメンバーである必要があります。 Azure での自動デプロイ 前述の API にアクセスするために必要な資格情報は、以下でダウンロードできる小さな PowerShell スクリプトによって生成されます。 スクリプトで次のタスクが実行されます。

  • Azure サブスクリプションにログオンする (管理者アカウントでログインしてください)
  • このコネクタ用の新しいエンタープライズ アプリケーションを Microsoft Entra に作成する (サービス プリンシパルともいう)
  • Azure Log Analytics ワークスペースにのみ読み取り/クエリ アクセス許可を付与する新しいロールを Azure IAM に作成する。
  • エンタープライズ アプリケーションをそのユーザー ロールに参加させる
  • エンタープライズ アプリケーションを "Microsoft Sentinel 共同作成者" ロールに参加させる
  • アプリを構成するために必要な何らかのデータを出力する (下記参照)

デプロイ手順

  1. ここから PowerShell デプロイ スクリプトをダウンロードします。
  2. 新しいアプリ登録用にデプロイするスクリプトとロールおよびアクセス許可スコープを確認します。 Microsoft Sentinel でコネクタを使用しない場合は、すべてのロールの作成とロールの割り当てコードを削除し、Microsoft Entra ID にアプリ登録 (SPN) を作成するためにのみそれを使用できます。
  3. スクリプトを実行します。 最後に、コネクタ アプリの構成に入力する必要がある情報が出力されます。
  4. Microsoft Entra ID で、[アプリの登録] をクリックします。 "SIGNL4AzureSecurity" という名前のアプリを見つけて、その詳細を開きます
  5. 左側のメニュー ブレードで、[API のアクセス許可] をクリックします。 その後、[アクセス許可の追加] をクリックします。
  6. 読み込まれるブレードの [Microsoft API] で、[Microsoft Graph] タイルをクリックしてから、[アプリのアクセス許可] をクリックします。
  7. 表示されているテーブルで [SecurityEvents] を展開し、[SecurityEvents.Read.All] と [SecurityEvents.ReadWrite.All] をオンにします。
  8. [アクセス許可の追加] をクリックします。

SIGNL4 コネクタ アプリの構成

最後に、コネクタ構成でスクリプトによって出力された ID を入力します。

  • Azure テナント ID
  • Azure サブスクリプション ID
  • クライアント ID (エンタープライズ アプリケーションの)
  • クライアント シークレット (エンタープライズ アプリケーションの) アプリが有効になると、Azure Graph Security API アラートの読み取りが開始されます。

注: 最初は、過去 24 時間以内に発生したアラートのみが読み取られます。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。