Поделиться через

Соединитель данных Dataminr Pulse Alerts Data Connector (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных Dataminr Pulse Alerts Data Connector обеспечивает аналитику, на основе искусственного интеллекта в режиме реального времени, в Microsoft Sentinel для ускорения обнаружения угроз и реагирования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Код приложения-функции Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Таблицы Log Analytics DataminrPulse_Alerts_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Поддержка Dataminr

Примеры запросов

Данные оповещений пульса Dataminr для всех типов оповещений

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с соединителем данных Dataminr Pulse Alerts (с помощью Функции Azure), убедитесь, что у вас есть:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Обязательные учетные данные и разрешения Dataminr:

a. У пользователей должен быть допустимый идентификатор клиента API Dataminr Pulse и секрет для использования этого соединителя данных.

b. На веб-сайте Dataminr Pulse Watchlist необходимо настроить один или несколько списков отслеживания пульса Dataminr.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к DataminrPulse, в котором журналы отправляются через RTAP Dataminr, и он будет прием журналов в Microsoft Sentinel. Кроме того, соединитель получит полученные данные из таблицы пользовательских журналов и создаст индикаторы аналитики угроз в Microsoft Sentinel Threat Intelligence. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Учетные данные для идентификатора клиента Dataminr Pulse и секрета клиента

  • Получите идентификатор пользователя Dataminr Pulse и пароль и идентификатор клиента API из диспетчера успешности клиентов Dataminr (CSM).

ШАГ 2. Настройка списков наблюдения на портале Dataminr Pulse.

Выполните действия, описанные в этом разделе, чтобы настроить списки наблюдения на портале:

  1. Войдите на веб-сайт Dataminr Pulse.

  2. Щелкните значок шестеренки параметров и выберите пункт "Управление списками".

  3. Выберите тип списка наблюдения, который вы хотите создать (Cyber, Topic, Company и т. д.) и нажмите кнопку "Создать список ".

  4. Укажите имя нового списка наблюдения и выберите для него цвет выделения или сохраните цвет по умолчанию.

  5. Когда вы закончите настройку списка наблюдения, нажмите кнопку "Сохранить ", чтобы сохранить ее.

ШАГ 3. Шаги регистрации приложений для приложения в идентификаторе Microsoft Entra

Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать новое приложение в идентификаторе Microsoft Entra ID:

  1. Войдите на портал Azure.
  2. Найдите и выберите Microsoft Entra ID.
  3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.
  4. Введите отображаемое имя приложения.
  5. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.
  6. После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных DataminrPulse.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app

ШАГ 4. Добавление секрета клиента для приложения в идентификатор Microsoft Entra

Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения соединителя данных DataminrPulse. Выполните действия, описанные в этом разделе, чтобы создать новый секрет клиента:

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.
  2. Выберите сертификаты и секреты > > секретов клиента New client secret.
  3. Добавьте описание секрета клиента.
  4. Выберите срок действия секрета или укажите настраиваемое время существования. Ограничение составляет 24 месяца.
  5. Выберите Добавить.
  6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных DataminrPulse.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ШАГ 5. Назначение роли участника приложению в идентификаторе Microsoft Entra

Выполните действия, описанные в этом разделе, чтобы назначить роль:

  1. В портал Azure перейдите в группу ресурсов и выберите свою группу ресурсов.
  2. Перейдите к элементу управления доступом (IAM) на левой панели.
  3. Нажмите кнопку "Добавить", а затем выберите "Добавить назначение роли".
  4. Выберите участника в качестве роли и нажмите кнопку "Далее".
  5. В поле "Назначить доступ" выберите User, group, or service principal.
  6. Щелкните добавить участников и введите имя созданного приложения и выберите его.
  7. Теперь нажмите кнопку "Рецензирование" и "Назначить " и снова нажмите кнопку "Рецензирование" и " Назначить".

Ссылка на ссылку: /azure/role-based-access-control/role-assignments-portal

ШАГ 6. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Перед развертыванием соединителя данных Dataminr Pulse Microsoft Sentinel можно легко получить идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего).

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя DataminrPulse.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите приведенные ниже сведения: идентификатор рабочей области имени функции: Оповещения ключа рабочей области "Ключ рабочей области" BaseURL ClientSecret AzureClientId AzureClientId AzureClientSecret AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных Dataminr Pulse Microsoft Sentinel вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

  1. Разверните приложение-функцию

Примечание.

Вам потребуется подготовить VS Code для разработки функций Azure.

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

  2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

  3. Выберите папку верхнего уровня из извлеченных файлов.

  4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

  5. Введите следующие сведения по соответствующим запросам:

    a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

    b. Выберите подписку: выберите используемую подписку.

    c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

    d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, DmPulseXXXXXXX).

    д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.

    f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

  6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

  7. Перейдите на портал Azure для конфигурации приложения-функции.

  1. Настройте приложение-функцию
  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): идентификатор рабочей области имени рабочей области идентификатора рабочей области Key AlertsTableName BaseURL ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logLelyticsUri (необязательно)
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

ШАГ 7. Шаги после развертывания

  1. Получение конечной точки приложения-функции
  1. Перейдите на страницу обзора функций Azure и щелкните "Функции" в левой колонке.
  2. Щелкните функцию с именем DataminrPulseAlertsHttpStarter.
  3. Перейдите в раздел GetFunctionurl и скопируйте URL-адрес функции.
  4. Замените {functionname} на DataminrPulseAlertsSentinelOrchestrator в url-адресе скопированной функции.
  1. Добавление параметров интеграции в Dataminr RTAP с помощью URL-адреса функции
  1. Откройте любой инструмент запроса API.
  2. Щелкните "+", чтобы создать новый запрос.
  3. Выберите метод HTTP-запроса как POST.
  4. Введите URL-адрес, подготовленный в точке 1), в части URL-адреса запроса.
  5. В тексте выберите необработанный код JSON и укажите текст запроса, как показано ниже (с учетом регистра): { "integration-settings": "ADD", "url", "(URL part from copied Function-url)token": "(value of code parameter from copied Function-url)" }
  6. После предоставления всех необходимых сведений нажмите кнопку "Отправить".
  7. Вы получите идентификатор параметра интеграции в ответе HTTP с кодом состояния 200.
  8. Сохраните идентификатор интеграции для будущей ссылки.

Теперь мы закончим добавление параметров интеграции для RTAP Dataminr. После отправки данных RTAP Dataminr приложение-функция запускается, и вы сможете просмотреть данные оповещений из таблицы рабочих областей Dataminr Pulse в logAnalytics с именем "DataminrPulse_Alerts_CL".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.