Conector do Digital Shadows Searchlight (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

O conector de dados Digital Shadows fornece a ingestão dos incidentes e alertas do Digital Shadows Searchlight para o Microsoft Sentinel usando a API REST. O conector fornecerá informações sobre incidentes e alertas que ajudem a examinar, diagnosticar e analisar os potenciais riscos e ameaças à segurança.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Configurações do aplicativo DigitalShadowsAccountID
ID do espaço de trabalho
Chave do espaço de trabalho
DigitalShadowsKey
DigitalShadowsSecret
Dias Históricos
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (opcional)(adicionar quaisquer outras configurações exigidas pelo aplicativo de função)Defina o DigitalShadowsURL valor para: https://api.searchlight.app/v1Defina o HighVariabilityClassifications valor para: exposed-credential,marked-documentDefina o ClassificationFilterOperation valor para: exclude para excluir aplicativo de função ou include para incluir aplicativo de função
Código do aplicativo de função do Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabela(s) do Log Analytics DigitalShadows_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Sombras digitais

Exemplos de consulta

Todos os incidentes e alertas do Digital Shadows ordenados pelo tempo mais recentemente levantados

DigitalShadows_CL 
| order by raised_t desc

Pré-requisitos

Para integrar com o Digital Shadows Searchlight (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: ID da conta, segredo e chave do Digital Shadows são necessários. Consulte a documentação para saber mais sobre a https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionAPI no .

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar a um 'Digital Shadows Searchlight' para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de configuração para a API 'Digital Shadows Searchlight'

O provedor deve fornecer ou vincular a etapas detalhadas para configurar o ponto de extremidade da API 'Digital Shadows Searchlight' para que a Função do Azure possa se autenticar nele com êxito, obter sua chave de autorização ou token e extrair os logs do dispositivo para o Microsoft Sentinel.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector 'Digital Shadows Searchlight', tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiado do seguinte), bem como a(s) chave(s) de autorização ou token da API 'Digital Shadows Searchlight', prontamente disponíveis.

Opção 1 - Modelo do Azure Resource Manager (ARM)

Use este método para a implantação automatizada do conector 'Digital Shadows Searchlight'.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário da API, a senha da API 'e/ou outros campos obrigatórios'.

Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.

Opção 2 - Implantação manual do Azure Functions

Use as instruções passo a passo a seguir para implantar o conector 'Digital Shadows Searchlight' manualmente com o Azure Functions.

  1. Criar uma aplicação de funções

  2. No Portal do Azure, navegue até Aplicativo de Função.

  3. Clique em + Criar na parte superior.

  4. Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como python 3.8.

  5. Na guia Hospedagem, verifique se Tipo de plano está definido como 'Consumo (sem servidor)'. 5.Selecione Conta de armazenamento

  6. 'Adicionar outras configurações necessárias'.

  7. 'Faça outras alterações de configuração preferíveis', se necessário, e clique em Criar.

  8. Função de importação de código do aplicativo (implantação Zip)

  9. Instalar a CLI do Azure

  10. Do tipo az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> terminal e pressione enter. Defina o valor como: o nome do ResourceGroup seu grupo de recursos. Defina o valor como: o nome do FunctionApp aplicativo de função recém-criado. Defina o Zip File valor para: digitalshadowsConnector.zip(caminho para o arquivo zip). Nota:- Baixe o arquivo zip do link - Função App Code

  11. Configurar o aplicativo de função

  12. Na tela Aplicativo de função, clique no nome do aplicativo de função e selecione Configuração.

  13. Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.

  14. Adicione cada uma das seguintes configurações do aplicativo 'x (número de)' individualmente, em Nome, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas) em Valor: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcional) (adicione quaisquer outras configurações exigidas pelo aplicativo Function) Defina o DigitalShadowsURL valor para: https://api.searchlight.app/v1 Defina o HighVariabilityClassifications valor para: exposed-credential,marked-document Defina o ClassificationFilterOperation Valor para: exclude para excluir aplicativo de função ou include para incluir aplicativo de função

Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Azure Key Vault para obter mais detalhes.

  • Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.