Conector do Digital Shadows Searchlight (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

O conector de dados Digital Shadows permite ingerir os incidentes e alertas do Digital Shadows Searchlight no Microsoft Sentinel pela API REST. O conector mostra informações sobre incidentes e alertas, de modo que ajuda a examinar, diagnosticar e analisar os possíveis riscos e ameaças à segurança.

Esse conteúdo foi gerado automaticamente. Para sugerir alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Configurações de aplicativo DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (opcional)(adicione outras configurações exigidas pelo aplicativo de funções)Defina o valor DigitalShadowsURL como: https://api.searchlight.app/v1Defina o valor HighVariabilityClassifications como: exposed-credential,marked-documentDefina o valor ClassificationFilterOperation como: excludepara excluir o aplicativo de funções ou include para incluir o aplicativo de funções
Código do aplicativo de funções do Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabela(s) do Log Analytics DigitalShadows_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Digital Shadows

Exemplos de consulta

Todos os incidentes e alertas do Digital Shadows ordenados pelos gerados mais recentemente

DigitalShadows_CL 
| order by raised_t desc

Pré-requisitos

Para fazer a integração com o Digital Shadows Searchlight (usando o Azure Functions), certifique-se de que você tenha o seguinte:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: a ID da conta, o segredo e a chave do Digital Shadows são necessários. Confira a documentação para saber mais sobre a API em https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar ao Digital Shadows Searchlight para efetuar pull dos seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1 – Etapas de configuração para a API Digital Shadows Searchlight

O provedor precisa disponibilizar ou indicar um link para as etapas detalhadas de configuração do ponto de extremidade da API Digital Shadows Searchlight para que a Função do Azure possa autenticá-lo com êxito, obter a chave ou o token de autorização e efetuar pull dos logs do dispositivo para o Microsoft Sentinel.

ETAPA 2: Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: antes de implantar o conector Digital Shadows Searchlight, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada no seguinte), bem como as chaves ou o token de autorização da API Digital Shadows Searchlight.

Opção 1 – Modelo do Azure Resource Manager (ARM)

Siga esse método para fazer a implantação automatizada do conector Digital Shadows Searchlight.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira a ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário da API, a senha da API e/ou outros campos necessários.

Observação: se você usa segredos do Azure Key Vault para um dos valores acima, use o @Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault. 4. Marque a caixa de seleção com o rótulo Concordo com os termos e condições declarados acima. 5. Clique em Comprar para implantar.

Opção 2 – Implantação Manual do Azure Functions

Siga as instruções passo a passo a seguir para implantar manualmente o conector Digital Shadows Searchlight com o Azure Functions.

  1. Criar um aplicativo de funções

  2. No portal do Azure, acesse o aplicativo de funções.

  3. Clique + Criar na parte superior.

  4. Na guia Básico, verifique se a pilha de runtime está definida como python 3.8.

  5. Na guia Hospedagem, verifique se o Tipo de plano está definido como “Consumo (sem servidor”). 5.selecione Conta de armazenamento

  6. "Adicionar outras configurações necessárias".

  7. Faça outras alterações de configuração preferenciais, se necessário, e clique em Criar.

  8. Importar código do aplicativo de funções (implantação zip)

  9. Instalar a CLI do Azure.

  10. Do tipo de terminal az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> e pressione Enter. Defina o valor ResourceGroup como: nome do seu grupo de recursos. Defina o valor FunctionApp como: nome do seu aplicativo de funções recém-criado. Defina o valor Zip File como: digitalshadowsConnector.zip(caminho para o arquivo zip). Observação: Baixar o arquivo zip do link – Código do aplicativo de funções

  11. Configurar o aplicativo de funções

  12. Na tela do aplicativo de funções, clique no nome e selecione Configuração.

  13. Na guia Configurações do aplicativo, selecione + Novas configurações do aplicativo.

  14. Adicione cada uma das seguintes configurações de aplicativo “x (número de)”, em Nome, com seus respectivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas) em Valor: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcional) (adicione outras configurações exigidas pelo aplicativo de funções) Defina o valor DigitalShadowsURL como: https://api.searchlight.app/v1 Defina o valor HighVariabilityClassifications como: exposed-credential,marked-document Defina o valor ClassificationFilterOperation como: exclude para excluir o aplicativo de funções ou include para incluir o aplicativo de funções

Observação: se você usa segredos do Azure Key Vault para um dos valores acima, use o @Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Para saber mais detalhes, confira a documentação de referências do Azure Key Vault.

  • Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de logs para uma nuvem dedicada. Por exemplo, para a nuvem pública, deixe o valor vazio; para o ambiente de nuvem do Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Após todas as configurações do aplicativo terem sido inseridas, clique em Salvar.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.