Соединитель REST API darktrace Подключение or для Microsoft Sentinel

  • Статья

Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL"; Нарушения модели, инциденты аналитиков ИИ, системные оповещения и оповещения электронной почты могут быть приема. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel из мастеров Darktrace.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics darktrace_model_alerts_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Darktrace

Примеры запросов

Поиск тестовых оповещений

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Возврат верхних показателей нарушений модели Darktrace

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Возврат инцидентов аналитиков ИИ

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Возврат оповещений о работоспособности системы

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Возврат журналов электронной почты для определенного внешнего отправителя (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Необходимые компоненты

Чтобы интегрировать с Darktrace Подключение or для REST API Microsoft Sentinel, убедитесь, что у вас есть:

  • Предварительные требования darktrace: для использования этого объекта Data Подключение or главного объекта Darktrace, работающего под управлением версии 5.2+, требуется. Данные отправляются в API сборщика HTTP-данных Azure Monitor по протоколу HTTPs из мастеров Darktrace, поэтому требуется исходящее подключение из мастера Darktrace к REST API Microsoft Sentinel.
  • Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных.
  • Попробуйте решение Darktrace Sentinel: вы можете получить большую часть этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это позволит книгам визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов из нарушений модели Darktrace и инцидентов аналитика ИИ.

Инструкции по установке поставщика

  1. Подробные инструкции по настройке можно найти на портале клиента Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Запишите идентификатор рабочей области и первичный ключ. Эти сведения необходимо ввести на странице "Конфигурация системы Darktrace".

Конфигурация Darktrace

  1. Выполните следующие действия на странице "Конфигурация системы Darktrace".
  2. Перейдите на страницу конфигурации системы (главное меню > Администратор > System Config)
  3. Перейдите в конфигурацию модулей и щелкните конфигурацию Microsoft Sentinel карта
  4. Выберите "HTTPS (JSON)" и нажмите кнопку "Создать"
  5. Укажите необходимые сведения и выберите соответствующие фильтры
  6. Нажмите кнопку "Проверить оповещение Параметры", чтобы попытаться выполнить проверку подлинности и отправить тестовое оповещение
  7. Выполните пример запроса "Поиск тестовых оповещений", чтобы проверить, получено ли тестовое оповещение.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.