Conector Derdack SIGNL4 para Microsoft Sentinel

  • Artigo

Quando sistemas críticos falham ou incidentes de segurança acontecem, a SIGNL4 faz a ponte da "última milha" para sua equipe, engenheiros, administradores de TI e trabalhadores em campo. Ele adiciona alertas móveis em tempo real aos seus serviços, sistemas e processos em pouco tempo. O SIGNL4 notifica através de push móvel persistente, SMS de texto e chamadas de voz com confirmação, rastreamento e escalonamento. O plantão integrado e o agendamento de turnos garantem que as pessoas certas sejam alertadas no momento certo.

Saiba mais >

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics SIGNL4_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Derdack

Exemplos de consulta

Obtenha informações de alerta e status do SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Instruções de instalação do fornecedor

Nota

Este conector de dados é configurado principalmente no lado SIGNL4. Você pode encontrar um vídeo de descrição aqui: Integrar o SIGNL4 com o Microsoft Sentinel.

Conector SIGNL4: O conector SIGNL4 para Microsoft Sentinel, Central de Segurança do Azure e outros provedores de API do Azure Graph Security fornece integração perfeita de 2 vias com suas soluções de Segurança do Azure. Uma vez adicionado à sua equipe SIGNL4, o conector lerá alertas de segurança da API de Segurança do Azure Graph e disparará notificações de alerta totalmente automáticas para os membros da sua equipe de plantão. Ele também sincronizará o status do alerta de SIGNL4 para a API de Segurança do Graph, para que, se os alertas forem reconhecidos ou fechados, esse status também seja atualizado no alerta da API de Segurança do Gráfico do Azure ou no provedor de segurança correspondente. Como mencionado, o conector usa principalmente a API de Segurança do Azure Graph, mas para alguns provedores de segurança, como o Microsoft Sentinel, ele também usa APIs REST dedicadas de acordo com as soluções do Azure.

Recursos do Microsoft Sentinel

O Microsoft Sentinel é uma solução SIEM nativa da nuvem da Microsoft e um provedor de alertas de segurança na API de Segurança do Azure Graph. No entanto, o nível de detalhes de alerta disponíveis com a API de segurança do gráfico é limitado para o Microsoft Sentinel. O conector pode, portanto, aumentar os alertas com mais detalhes (resultados de pesquisa de regras de insights) a partir do espaço de trabalho subjacente do Microsoft Sentinel Log Analytics. Para poder fazer isso, o conector se comunica com a API REST do Azure Log Analytics e precisa de permissões de acordo (veja abaixo). Além disso, o aplicativo também pode atualizar o status de incidentes do Microsoft Sentinel, quando todos os alertas de segurança relacionados estão, por exemplo, em andamento ou resolvidos. Para poder fazer isso, o conector precisa ser membro do grupo 'Colaboradores do Microsoft Sentinel' em sua Assinatura do Azure. Implantação automatizada no Azure As credenciais necessárias para acessar as APIs mencionadas anteriormente são geradas por um pequeno script do PowerShell que você pode baixar abaixo. O script executa as seguintes tarefas para você:

  • Inicia sessão na sua Subscrição do Azure (inicie sessão com uma conta de administrador)
  • Cria um novo aplicativo corporativo para esse conector em sua ID do Microsoft Entra, também conhecida como entidade de serviço
  • Cria uma nova função em seu IAM do Azure que concede permissão de leitura/consulta apenas aos espaços de trabalho do Azure Log Analytics.
  • Associa o aplicativo corporativo a essa função de usuário
  • Associa a aplicação empresarial à função 'Microsoft Sentinel Contributors'
  • Produz alguns dados que você precisa para configurar o aplicativo (veja abaixo)

Procedimento de implantação

  1. Baixe o script de implantação do PowerShell aqui.
  2. Analise o script e as funções e escopos de permissão que ele implanta para o novo registro do aplicativo. Se não quiser usar o conector com o Microsoft Sentinel, você pode remover toda a criação de função e código de atribuição de função e usá-lo apenas para criar o registro de aplicativo (SPN) em sua ID do Microsoft Entra.
  3. Execute o script. No final, ele gera informações que você precisa inserir na configuração do aplicativo do conector.
  4. No Microsoft Entra ID, clique em 'Registos de Aplicações'. Encontre o aplicativo com o nome 'SIGNL4AzureSecurity' e abra seus detalhes
  5. Na folha do menu à esquerda, clique em 'Permissões de API'. Em seguida, clique em 'Adicionar uma permissão'.
  6. Na folha que carrega, em 'APIs da Microsoft', clique no bloco 'Microsoft Graph' e, em seguida, clique em 'Permissão do aplicativo'.
  7. Na tabela exibida, expanda 'SecurityEvents' e marque 'SecurityEvents.Read.All' e 'SecurityEvents.ReadWrite.All'.
  8. Clique em 'Adicionar permissões'.

Configurando o aplicativo conector SIGNL4

Finalmente, insira os IDs, que o script produziu na configuração do conector:

  • ID do Locatário do Azure
  • ID de Subscrição do Azure
  • ID do cliente (da aplicação empresarial)
  • Segredo do Cliente (do aplicativo empresarial) Assim que o aplicativo estiver habilitado, ele começará a ler seus alertas da API do Azure Graph Security.

NOTA: Inicialmente, apenas lerá os alertas que ocorreram nas últimas 24 horas.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.