Derdack SIGNL4-anslutningsprogram för Microsoft Sentinel

  • Artikel

När kritiska system misslyckas eller säkerhetsincidenter inträffar brygger SIGNL4 den "sista milen" till din personal, tekniker, IT-administratörer och arbetare på fältet. Det lägger till mobila aviseringar i realtid till dina tjänster, system och processer på nolltid. SIGNL4 meddelar genom beständiga mobila push-meddelanden, SMS-sms och röstsamtal med bekräftelse, spårning och eskalering. Integrerad schemaläggning av plikter och skift säkerställer att rätt personer varnas vid rätt tidpunkt.

Läs mer >

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller SIGNL4_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Derdack

Exempel på frågor

Hämta aviserings- och statusinformation för SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningen är huvudsakligen konfigurerad på SIGNL4-sidan. Du hittar en beskrivningsvideo här: Integrera SIGNL4 med Microsoft Sentinel.

SIGNL4 Anslut or: SIGNL4-anslutningsappen för Microsoft Sentinel, Azure Security Center och andra Azure Graph-API för säkerhet-leverantörer ger sömlös tvåvägsintegrering med dina Azure Security-lösningar. När den har lagts till i SIGNL4-teamet läser anslutningsappen säkerhetsaviseringar från Azure Graph API för säkerhet och utlöser automatiskt aviseringsaviseringar till dina teammedlemmar i tjänst. Den synkroniserar också aviseringsstatusen från SIGNL4 till Graph API för säkerhet, så att om aviseringar bekräftas eller stängs uppdateras även den här statusen enligt Azure Graph API för säkerhet-aviseringen eller motsvarande säkerhetsprovider. Som nämnts använder anslutningsappen främst Azure Graph API för säkerhet, men för vissa säkerhetsleverantörer, till exempel Microsoft Sentinel, använder den även dedikerade REST-API:er från enligt Azure-lösningar.

Microsoft Sentinel-funktioner

Microsoft Sentinel är en molnbaserad SIEM-lösning från Microsoft och en säkerhetsaviseringsprovider i Azure Graph API för säkerhet. Den nivå av aviseringsinformation som är tillgänglig med Graph API för säkerhet är dock begränsad för Microsoft Sentinel. Anslutningsappen kan därför utöka aviseringar med ytterligare information (sökresultat för insiktsregel) från den underliggande Microsoft Sentinel Log Analytics-arbetsytan. För att kunna göra det kommunicerar anslutningsappen med Azure Log Analytics REST API och behöver enligt behörigheter (se nedan). Dessutom kan appen även uppdatera statusen för Microsoft Sentinel-incidenter när alla relaterade säkerhetsaviseringar t.ex. pågår eller löses. För att kunna göra det måste anslutningsappen vara medlem i gruppen Microsoft Sentinel-deltagare i din Azure-prenumeration. Automatiserad distribution i Azure De autentiseringsuppgifter som krävs för att komma åt de tidigare nämnda API:erna genereras av ett litet PowerShell-skript som du kan ladda ned nedan. Skriptet utför följande uppgifter åt dig:

  • Loggar in dig på din Azure-prenumeration (logga in med ett administratörskonto)
  • Skapar ett nytt företagsprogram för den här anslutningsappen i ditt Microsoft Entra-ID, även kallat tjänstens huvudnamn
  • Skapar en ny roll i din Azure IAM som endast ger läs-/frågebehörighet till Azure Log Analytics-arbetsytor.
  • Ansluter företagsprogrammet till den användarrollen
  • Ansluter företagsprogrammet till rollen "Microsoft Sentinel-deltagare"
  • Matar ut vissa data som du behöver för att konfigurera appen (se nedan)

Distributionsprocedur

  1. Ladda ned PowerShell-distributionsskriptet härifrån.
  2. Granska skriptet och de roller och behörighetsomfång som det distribuerar för den nya appregistreringen. Om du inte vill använda anslutningsappen med Microsoft Sentinel kan du ta bort all kod för rollskapande och rolltilldelning och endast använda den för att skapa appregistreringen (SPN) i ditt Microsoft Entra-ID.
  3. Kör skriptet. I slutet matar den ut information som du behöver ange i appkonfigurationen för anslutningsappen.
  4. I Microsoft Entra-ID klickar du på "Appregistreringar". Hitta appen med namnet SIGNL4AzureSecurity och öppna dess information
  5. På det vänstra menybladet klickar du på "API-behörigheter". Klicka sedan på Lägg till en behörighet.
  6. På bladet som läses in under "Microsoft API:er" klickar du på panelen Microsoft Graph och klickar sedan på "Appbehörighet".
  7. I tabellen som visas expanderar du "SecurityEvents" och kontrollerar "SecurityEvents.Read.All" och "SecurityEvents.ReadWrite.All".
  8. Klicka på Lägg till behörigheter.

Konfigurera SIGNL4-anslutningsappen

Ange slutligen ID:erna, som skriptet har matat ut i anslutningskonfigurationen:

  • Azure-klientorganisations-ID
  • Azure-prenumerations-ID
  • Klient-ID (för företagsprogrammet)
  • Klienthemlighet (för företagsprogrammet) När appen är aktiverad börjar den läsa dina Azure Graph-API för säkerhet aviseringar.

Obs! Den läser först bara aviseringarna som har inträffat under de senaste 24 timmarna.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.