Conector REST do conector Darktrace API para Microsoft Sentinel

  • Artigo

O conector da API REST do Darktrace envia eventos em tempo real do Darktrace para o Microsoft Sentinel e foi projetado para ser usado com a Solução Darktrace para Sentinel. O conector grava logs em uma tabela de log personalizada intitulada "darktrace_model_alerts_CL"; Violações de modelo, incidentes de analistas de IA, alertas do sistema e alertas de e-mail podem ser ingeridos - filtros adicionais podem ser configurados na página Configuração do sistema Darktrace. Os dados são enviados para o Sentinel a partir dos mestres do Darktrace.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics darktrace_model_alerts_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Darktrace

Exemplos de consulta

Procure alertas de teste

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Devolver Violações do Modelo Darktrace com a Melhor Pontuação

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Incidentes de analistas de IA de retorno

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Retornar alertas de integridade do sistema

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Retornar logs de e-mail para um remetente externo específico (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Pré-requisitos

Para integrar com o Darktrace Connector for Microsoft Sentinel REST API, certifique-se de:

  • Pré-requisitos do Darktrace: Para usar este conector de dados, é necessário um mestre do Darktrace executando a v5.2+. Os dados são enviados para a API do Coletor de Dados HTTP do Azure Monitor por HTTPs dos mestres do Darktrace, portanto, a conectividade de saída do mestre do Darktrace para a API REST do Microsoft Sentinel é necessária.
  • Filtrar dados do Darktrace: Durante a configuração, é possível configurar filtragem adicional na página Configuração do sistema Darktrace para restringir a quantidade ou os tipos de dados enviados.
  • Experimente a Solução Darktrace Sentinel: Você pode aproveitar ao máximo esse conector instalando a Solução Darktrace para Microsoft Sentinel. Isso fornecerá pastas de trabalho para visualizar dados de alerta e regras de análise para criar automaticamente alertas e incidentes de violações de modelo Darktrace e incidentes do AI Analyst.

Instruções de instalação do fornecedor

  1. Instruções detalhadas de configuração podem ser encontradas no Portal do Cliente Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Anote a ID do espaço de trabalho e a chave primária. Você precisará inserir esses detalhes na página Configuração do sistema Darktrace.

Configuração do Darktrace

  1. Execute as seguintes etapas na página Configuração do sistema Darktrace:
  2. Navegue até a página Configuração do sistema (Configuração do sistema de administração > do menu > principal)
  3. Vá para a configuração de módulos e clique na placa de configuração "Microsoft Sentinel"
  4. Selecione "HTTPS (JSON)" e clique em "Novo"
  5. Preencha os dados necessários e selecione os filtros apropriados
  6. Clique em "Verificar configurações de alerta" para tentar a autenticação e enviar um alerta de teste
  7. Execute uma consulta de exemplo "Procurar alertas de teste" para validar que o alerta de teste foi recebido

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.