Share via

Microsoft Sentinel용 Digital Shadows Searchlight(Azure Functions 사용) 커넥터

  • 아티클

Digital Shadows 데이터 커넥터는 REST API를 사용하여 Digital Shadows Searchlight에서 Microsoft Sentinel로 인시던트 및 경고를 수집합니다. 커넥터는 잠재적인 보안 위험 및 위협을 검사, 진단 및 분석하는 데 도움이 되는 인시던트 및 경고 정보를 제공합니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
애플리케이션 설정 DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가) DigitalShadowsURL 값을 다음으로 설정: https://api.searchlight.app/v1HighVariabilityClassifications 값을 다음으로 설정: exposed-credential,marked-documentClassificationFilterOperation 값을 다음으로 설정: 함수 앱 제외의 경우 exclude 또는 함수 앱 포함의 경우 include for include function app
Azure 함수 앱 코드 https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics 테이블 DigitalShadows_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Digital Shadows

쿼리 샘플

가장 최근에 발생한 시간별로 정렬된 모든 Digital Shadows 인시던트 및 경고

DigitalShadows_CL 
| order by raised_t desc

필수 조건

Digital Shadows Searchlight(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • REST API 자격 증명/사용 권한: Digital Shadows 계정 ID, 비밀 및 키가 필요합니다. https://portal-digitalshadows.com/learn/searchlight-api/overview/description의 API에 대해 자세히 알아보려면 설명서를 참조하세요.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 'Digital Shadows Searchlight'에 연결하여 로그를 Microsoft Sentinel로 끌어옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - 'Digital Shadows Searchlight' API에 대한 구성 단계

공급자는 Azure Function이 성공적으로 인증하고, 권한 부여 키 또는 토큰을 가져오고, 어플라이언스의 로그를 Microsoft Sentinel에 끌어올 수 있도록 'Digital Shadows Searchlight' API 엔드포인트를 구성하는 자세한 단계를 제공하거나 연결해야 합니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수 배포

중요: 'Digital Shadows Searchlight' 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 주 키(다음에서 복사할 수 있음)는 물론 'Digital Shadows Searchlight' API 권한 부여 키 또는 토큰도 즉시 사용할 수 있게 합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

'Digital Shadows Searchlight' 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호, ‘및/또는 기타 필수 필드’를 입력합니다.

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier}) 스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다. 5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침에 따라 Azure Functions를 사용하여 'Digital Shadows Searchlight' 커넥터를 수동으로 배포합니다.

  1. 함수 앱 만들기

  2. Azure Portal에서 함수 앱으로 이동합니다.

  3. 상단에 있는 + 만들기를 클릭합니다.

  4. 기본 사항 탭에서 런타임 스택이 python 3.8로 설정되어 있는지 확인합니다.

  5. 호스팅 탭에서 플랜 유형'사용량(서버리스)'로 설정되었는지 확인합니다. 5. 스토리지 계정 선택

  6. '다른 필수 구성 추가'.

  7. 필요한 경우 '다른 원하는 구성을 변경한’ 다음, 만들기를 클릭합니다.

  8. 함수 앱 코드 가져오기(Zip 배포)

  9. Azure CLI 설치

  10. 터미널에서 az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File>을 입력하고 Enter 키를 누릅니다. ResourceGroup 값을 리소스 그룹 이름으로 설정합니다. FunctionApp 값을 새로 만든 함수 앱 이름으로 설정합니다. Zip File 값을 digitalshadowsConnector.zip(zip 파일의 경로)으로 설정합니다. 참고:- 링크에서 zip 파일 다운로드 - 함수 앱 코드

  11. 함수 앱 구성

  12. 함수 앱 화면에서 함수 앱 이름을 클릭하고 구성을 선택합니다.

  13. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  14. 각 'x(개수)' 애플리케이션 설정을 이름 아래에 개별적으로 추가하고 해당 문자열 값(대/소문자 구분)을 값: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri(선택 사항) 아래에 추가합니다(함수 앱에 필요한 다른 설정 추가).DigitalShadowsURL 값을 https://api.searchlight.app/v1로 설정합니다. HighVariabilityClassifications 값을 exposed-credential,marked-document로 설정합니다. ClassificationFilterOperation 값을 함수를 제외하는 경우에는 exclude로 또는 함수 앱을 포함하는 경우에는 include로 설정합니다.

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier}) 스키마를 사용합니다. 자세한 내용은 Azure Key Vault 참조 설명서를 참조하세요.

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 https://<CustomerId>.ods.opinsights.azure.us 형식으로 값을 지정합니다.
  1. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.