Microsoft Sentinel용 Darktrace Connector REST API 커넥터

  • 아티클

Darktrace REST API 커넥터는 Darktrace에서 Microsoft Sentinel로 실시간 이벤트를 푸시하며, Sentinel용 Darktrace 솔루션과 함께 사용하도록 설계되었습니다. 커넥터는 "darktrace_model_alerts_CL"이라는 사용자 지정 로그 테이블에 로그를 씁니다. 모델 위반, AI 분석가 인시던트, 시스템 경고 및 이메일 경고를 수집할 수 있습니다. Darktrace 시스템 구성 페이지에서 추가 필터를 설정할 수 있습니다. 데이터는 Darktrace 마스터에서 Sentinel로 푸시됩니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 darktrace_model_alerts_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Darktrace

쿼리 샘플

테스트 경고 찾기

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

상위 점수를 받은 Darktrace 모델 위반 반환

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

AI 분석가 인시던트 반환

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

시스템 상태 경고 반환

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

특정 외부 보낸 사람(example@test.com)에 대한 이메일 로그 반환

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

필수 조건

Microsoft Sentinel REST API용 Darktrace Connector와 통합하려면 다음 사항이 있는지 확인합니다.

  • Darktrace 필수 구성 요소: 이 데이터 커넥터를 사용하려면 v5.2 이상을 실행하는 Darktrace 마스터가 필요합니다. 데이터는 Darktrace 마스터에서 HTTP를 통해 Azure Monitor HTTP 데이터 수집기 API로 전송되므로 Darktrace 마스터에서 Microsoft Sentinel REST API로의 아웃바운드 연결이 필요합니다.
  • Darktrace 데이터 필터링: 구성 중에 Darktrace 시스템 구성 페이지에서 추가 필터링을 설정하여 전송되는 데이터의 양이나 형식을 제한할 수 있습니다.
  • Darktrace Sentinel 솔루션 사용해 보기: Microsoft Sentinel용 Darktrace 솔루션을 설치하여 이 커넥터를 최대한 활용합니다. 이렇게 하면 Darktrace 모델 위반 및 AI 분석가 인시던트에서 경고 및 인시던트가 자동으로 생성되도록 경고 데이터 및 분석 규칙을 시각화하는 통합 문서가 제공됩니다.

공급업체 설치 지침

  1. 자세한 설정 지침은 Darktrace 고객 포털에서 찾을 수 있습니다. https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 작업 영역 ID 및 기본 키를 기록해 둡니다. Darktrace 시스템 구성 페이지에 이러한 세부 정보를 입력해야 합니다.

Darktrace 구성

  1. Darktrace 시스템 구성 페이지에서 다음 단계를 수행합니다.
  2. 시스템 구성 페이지(주 메뉴 > 관리자 > 시스템 구성)로 이동합니다.
  3. 모듈 구성으로 이동하여 "Microsoft Sentinel" 구성 카드를 클릭합니다.
  4. "HTTPS(JSON)"를 선택하고 "새로 만들기"를 누릅니다.
  5. 필수 세부 정보를 입력하고 적절한 필터 선택
  6. "경고 설정 확인"을 클릭하여 인증을 시도하고 테스트 경고를 보냅니다.
  7. "테스트 경고 찾기" 샘플 쿼리를 실행하여 테스트 경고가 수신되었는지 확인합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.