Udostępnij za pośrednictwem


Łącznik Derdack SIGNL4 dla usługi Microsoft Sentinel

W przypadku awarii krytycznych systemów lub zdarzeń związanych z bezpieczeństwem platforma SIGNL4 łączy "ostatnią milę" z pracownikami, inżynierami, administratorami IT i pracownikami w terenie. Dodaje ona alerty mobilne w czasie rzeczywistym do usług, systemów i procesów bez czasu. FUNKCJA SIGNL4 powiadamia za pomocą trwałego wypychania mobilnego, wiadomości SMS i połączeń głosowych z potwierdzeniem, śledzeniem i eskalacją. Zintegrowane planowanie obowiązków i zmian zapewnia, że odpowiednie osoby są powiadamiane w odpowiednim czasie.

Dowiedz się więcej >

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics SIGNL4_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Derdack

Przykłady zapytań

Uzyskaj informacje o alertach i stanie SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych jest skonfigurowany głównie po stronie SIGNL4. Opis wideo można znaleźć tutaj: Integracja rozwiązania SIGNL4 z usługą Microsoft Sentinel.

SIGNL4 Połączenie or: łącznik SIGNL4 dla usług Microsoft Sentinel, Azure Security Center i innych dostawców usługi Azure Graph interfejs API Zabezpieczenia zapewnia bezproblemową 2-dwukierunkową integrację z rozwiązaniami Azure Security. Po dodaniu do zespołu SIGNL4 łącznik odczytuje alerty zabezpieczeń z usługi Azure Graph interfejs API Zabezpieczenia i w pełni automatycznie i wyzwala powiadomienia o alertach do członków zespołu na służbie. Zsynchronizuj również stan alertu z SIGNL4 do programu Graph interfejs API Zabezpieczenia, tak aby w przypadku potwierdzenia lub zamknięcia alertów ten stan został również zaktualizowany zgodnie z alertem usługi Azure Graph interfejs API Zabezpieczenia lub odpowiednim dostawcą zabezpieczeń. Jak wspomniano, łącznik korzysta głównie z usługi Azure Graph interfejs API Zabezpieczenia, ale w przypadku niektórych dostawców zabezpieczeń, takich jak Microsoft Sentinel, korzysta również z dedykowanych interfejsów API REST z poziomu rozwiązań platformy Azure.

Funkcje usługi Microsoft Sentinel

Microsoft Sentinel to natywne rozwiązanie SIEM w chmurze firmy Microsoft i dostawca alertów zabezpieczeń w usłudze Azure Graph interfejs API Zabezpieczenia. Jednak poziom szczegółów alertu dostępnych w programie Graph interfejs API Zabezpieczenia jest ograniczony dla usługi Microsoft Sentinel. W związku z tym łącznik może rozszerzać alerty o dalsze szczegóły (wyniki wyszukiwania reguł szczegółowych informacji) z bazowego obszaru roboczego usługi Log Analytics usługi Microsoft Sentinel. Aby to zrobić, łącznik komunikuje się z interfejsem API REST usługi Azure Log Analytics i potrzebuje uprawnień (zobacz poniżej). Ponadto aplikacja może również zaktualizować stan zdarzeń usługi Microsoft Sentinel, gdy wszystkie powiązane alerty zabezpieczeń są w toku lub rozwiązane. Aby móc to zrobić, łącznik musi być członkiem grupy "Współautorzy usługi Microsoft Sentinel" w ramach subskrypcji platformy Azure. Automatyczne wdrażanie na platformie Azure Poświadczenia wymagane do uzyskania dostępu do wcześniej wymienionych interfejsów API są generowane przez mały skrypt programu PowerShell, który można pobrać poniżej. Skrypt wykonuje następujące zadania:

  • Zaloguj się do subskrypcji platformy Azure (zaloguj się przy użyciu konta administratora)
  • Tworzy nową aplikację dla przedsiębiorstw dla tego łącznika w identyfikatorze Entra firmy Microsoft, nazywanym również jednostką usługi
  • Tworzy nową rolę w usłudze Azure IAM, która przyznaje uprawnienia do odczytu/zapytania tylko do obszarów roboczych usługi Azure Log Analytics.
  • Dołącza aplikację przedsiębiorstwa do tej roli użytkownika
  • Dołącza aplikację przedsiębiorstwa do roli "Współautorzy usługi Microsoft Sentinel"
  • Generuje dane, które należy skonfigurować aplikację (zobacz poniżej)

Procedura wdrażania

  1. Pobierz skrypt wdrożenia programu PowerShell z tego miejsca.
  2. Przejrzyj skrypt oraz role i zakresy uprawnień, które wdraża na potrzeby rejestracji nowej aplikacji. Jeśli nie chcesz używać łącznika z usługą Microsoft Sentinel, możesz usunąć cały kod tworzenia roli i przypisania roli i użyć go tylko do utworzenia rejestracji aplikacji (SPN) w identyfikatorze Entra firmy Microsoft.
  3. Uruchom skrypt. Na końcu zwraca informacje, które należy wprowadzić w konfiguracji aplikacji łącznika.
  4. W obszarze Microsoft Entra ID kliknij pozycję "Rejestracje aplikacji". Znajdź aplikację o nazwie SIGNL4AzureSecurity i otwórz jej szczegóły
  5. W bloku menu po lewej stronie kliknij pozycję "Uprawnienia interfejsu API". Następnie kliknij pozycję "Dodaj uprawnienie".
  6. W bloku, który zostanie załadowany, w obszarze "Interfejsy API firmy Microsoft" kliknij kafelek "Microsoft Graph", a następnie kliknij pozycję "Uprawnienie aplikacji".
  7. W wyświetlonej tabeli rozwiń kolejno pozycje "SecurityEvents" i "SecurityEvents.Read.All" i "SecurityEvents.ReadWrite.All".
  8. Kliknij pozycję "Dodaj uprawnienia".

Konfigurowanie aplikacji łącznika SIGNL4

Na koniec wprowadź identyfikatory, które skrypt wygenerował w konfiguracji łącznika:

  • Identyfikator dzierżawy platformy Azure
  • Identyfikator subskrypcji Azure
  • Identyfikator klienta (aplikacji dla przedsiębiorstw)
  • Wpis tajny klienta (aplikacji dla przedsiębiorstw) Po włączeniu aplikacji rozpocznie odczytywanie alertów usługi Azure Graph interfejs API Zabezpieczenia.

UWAGA: Początkowo odczytuje tylko alerty, które wystąpiły w ciągu ostatnich 24 godzin.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.