Microsoft Sentinel için Darktrace Bağlan or REST API bağlayıcısı

  • Makale

Darktrace REST API bağlayıcısı, Darktrace'ten Microsoft Sentinel'e gerçek zamanlı olaylar gönderir ve Sentinel için Darktrace Çözümü ile kullanılacak şekilde tasarlanmıştır. Bağlayıcı günlükleri "darktrace_model_alerts_CL" başlıklı özel bir günlük tablosuna yazar; Model İhlalleri, Yapay Zeka Analisti Olayları, Sistem Uyarıları ve E-posta Uyarıları alınabiliyor; Darktrace Sistem Yapılandırması sayfasında ek filtreler ayarlanabilir. Veriler, Darktrace ana şablonlarından Sentinel'e gönderilir.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları darktrace_model_alerts_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Koyu iz

Sorgu örnekleri

Test Uyarıları'nı arayın

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

En İyi Puanlama Karalama Modeli İhlallerini Döndür

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Dönüş Yapay Zeka Analisti Olayları

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Sistem Durumu Uyarılarını Döndürme

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Belirli bir dış gönderen için e-posta Günlüklerini döndürme (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Önkoşullar

Darktrace Bağlan veya Microsoft Sentinel REST API'siyle tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Darktrace Önkoşulları: Bu Veri Bağlan kullanmak içinveya v5.2+ çalıştıran bir Darktrace yöneticisi gerekir. Veriler, Darktrace ana makinelerinden HTTP'ler üzerinden Azure İzleyici HTTP Veri Toplayıcı API'sine gönderilir, bu nedenle Darktrace yöneticisinden Microsoft Sentinel REST API'sine giden bağlantı gereklidir.
  • Darktrace Verilerini Filtreleme: Yapılandırma sırasında, gönderilen veri miktarını veya türlerini kısıtlamak için Darktrace Sistem Yapılandırması sayfasında ek filtreleme ayarlamak mümkündür.
  • Darktrace Sentinel Çözümünü deneyin: Microsoft Sentinel için Darktrace Çözümünü yükleyerek bu bağlayıcıdan en iyi şekilde yararlanın. Bu, Darktrace Modeli İhlalleri ve Yapay Zeka Analisti olaylarından otomatik olarak uyarılar ve olaylar oluşturmak için uyarı verilerini ve analiz kurallarını görselleştirmek için çalışma kitapları sağlar.

Satıcı yükleme yönergeleri

  1. Ayrıntılı kurulum yönergelerini Darktrace Müşteri Portalı'nda bulabilirsiniz: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Çalışma Alanı Kimliğini ve Birincil anahtarı not alın. Bu ayrıntıları Darktrace Sistem Yapılandırması sayfanıza girmeniz gerekir.

Darktrace Yapılandırması

  1. Darktrace Sistem Yapılandırması sayfasında aşağıdaki adımları gerçekleştirin:
  2. Sistem Yapılandırma Sayfasına gidin (Ana Menü > Yönetici > Sistem Yapılandırması)
  3. Modül yapılandırmasına gidin ve "Microsoft Sentinel" yapılandırma kartına tıklayın
  4. "HTTPS (JSON)" öğesini seçin ve "Yeni" tuşuna tıklayın
  5. Gerekli ayrıntıları doldurun ve uygun filtreleri seçin
  6. Kimlik doğrulamayı deneyip test uyarısı göndermek için "Uyarı Ayarlar Doğrula" seçeneğine tıklayın
  7. Test uyarısının alındığını doğrulamak için "Test Uyarılarını Ara" örnek sorgusunu çalıştırın

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.