Derdack SIGNL4-connector voor Microsoft Sentinel

  • Artikel

Wanneer kritieke systemen mislukken of beveiligingsincidenten optreden, overbrugt SIGNL4 de 'last mile' naar uw medewerkers, technici, IT-beheerders en werknemers in het veld. Hiermee worden realtime mobiele waarschuwingen toegevoegd aan uw services, systemen en processen zonder tijd. SIGNL4 meldt via permanente mobiele push, sms-tekst en spraakoproepen met bevestiging, tracering en escalatie. Geïntegreerde dienst- en dienstplanning zorgen ervoor dat de juiste mensen op het juiste moment worden gewaarschuwd.

Meer informatie >

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen SIGNL4_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Derdack

Voorbeelden van query's

Ontvang SIGNL4-waarschuwings- en statusgegevens.

SecurityIncident

| where Labels contains "SIGNL4"

Installatie-instructies van leverancier

Notitie

Deze gegevensconnector is voornamelijk geconfigureerd aan de zijde VAN SIGNL4. Hier vindt u een beschrijvingsvideo: SIGNL4 integreren met Microsoft Sentinel.

SIGNL4 Verbinding maken or: De SIGNL4-connector voor Microsoft Sentinel, Azure Security Center en andere Azure Graph beveiligings-API-providers biedt naadloze tweerichtingsintegratie met uw Azure Security-oplossingen. Nadat de connector is toegevoegd aan uw SIGNL4-team, worden beveiligingswaarschuwingen van Azure Graph beveiligings-API en volledig automatisch gelezen en worden waarschuwingsmeldingen geactiveerd voor uw teamleden die in dienst zijn. De waarschuwingsstatus van SIGNL4 wordt ook gesynchroniseerd met Graph beveiligings-API, zodat als waarschuwingen worden bevestigd of gesloten, deze status ook wordt bijgewerkt op basis van de Azure Graph beveiligings-API waarschuwing of de bijbehorende beveiligingsprovider. Zoals vermeld, maakt de connector voornamelijk gebruik van Azure Graph beveiligings-API, maar voor sommige beveiligingsproviders, zoals Microsoft Sentinel, wordt ook gebruikgemaakt van toegewezen REST API's op basis van Azure-oplossingen.

Functies van Microsoft Sentinel

Microsoft Sentinel is een cloudeigen SIEM-oplossing van Microsoft en een beveiligingswaarschuwingsprovider in Azure Graph beveiligings-API. Het niveau van waarschuwingsdetails die beschikbaar zijn in Graph beveiligings-API is echter beperkt voor Microsoft Sentinel. De connector kan daarom waarschuwingen uitbreiden met verdere details (zoekresultaten voor inzichtenregels), vanuit de onderliggende Microsoft Sentinel Log Analytics-werkruimte. Om dit te kunnen doen, communiceert de connector met de Rest API van Azure Log Analytics en heeft deze behoeften op basis van machtigingen (zie hieronder). Bovendien kan de app ook de status van Microsoft Sentinel-incidenten bijwerken wanneer alle gerelateerde beveiligingswaarschuwingen bijvoorbeeld worden uitgevoerd of opgelost. Om dat te kunnen doen, moet de connector lid zijn van de groep Microsoft Sentinel-inzenders in uw Azure-abonnement. Geautomatiseerde implementatie in Azure De referenties die nodig zijn om toegang te krijgen tot de api's die vooraf worden aangegeven, worden gegenereerd door een klein PowerShell-script dat u hieronder kunt downloaden. Het script voert de volgende taken voor u uit:

  • Hiermee meldt u zich aan bij uw Azure-abonnement (meld u aan met een beheerdersaccount)
  • Hiermee maakt u een nieuwe bedrijfstoepassing voor deze connector in uw Microsoft Entra-id, ook wel service-principal genoemd
  • Hiermee maakt u een nieuwe rol in uw Azure IAM die lees-/querymachtigingen verleent aan alleen Azure Log Analytics-werkruimten.
  • Voegt de bedrijfstoepassing toe aan die gebruikersrol
  • Voegt de bedrijfstoepassing toe aan de rol Microsoft Sentinel-inzenders
  • Voert enkele gegevens uit die u nodig hebt om de app te configureren (zie hieronder)

Implementatieprocedure

  1. Download hier het PowerShell-implementatiescript.
  2. Controleer het script en de rollen en machtigingsbereiken die worden geïmplementeerd voor de nieuwe app-registratie. Als u de connector niet wilt gebruiken met Microsoft Sentinel, kunt u alle code voor het maken van rollen en roltoewijzing verwijderen en deze alleen gebruiken om de app-registratie (SPN) te maken in uw Microsoft Entra-id.
  3. Voer het script uit. Aan het einde wordt informatie weergegeven die u moet invoeren in de configuratie van de connector-app.
  4. Klik in Microsoft Entra ID op App-registraties. Zoek de app met de naam SIGNL4AzureSecurity en open de bijbehorende details
  5. Klik in de linkermenublade op API-machtigingen. Klik vervolgens op Een machtiging toevoegen.
  6. Klik op de blade die wordt geladen onder 'Microsoft API's' op de tegel Microsoft Graph en klik vervolgens op App-machtiging.
  7. Vouw in de tabel die wordt weergegeven 'SecurityEvents' uit en controleer 'SecurityEvents.Read.All' en 'SecurityEvents.ReadWrite.All'.
  8. Klik op Machtigingen toevoegen.

De SIGNL4-connector-app configureren

Voer ten slotte de id's in die het script heeft uitgevoerd in de connectorconfiguratie:

  • Azure-tenant-id
  • Azure-abonnements-id
  • Client-id (van de bedrijfstoepassing)
  • Clientgeheim (van de bedrijfstoepassing) Zodra de app is ingeschakeld, wordt uw Azure Graph beveiligings-API waarschuwingen gelezen.

OPMERKING: In eerste instantie worden alleen de waarschuwingen gelezen die de afgelopen 24 uur zijn opgetreden.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.