Dataminr Pulse Uyarıları Microsoft Sentinel için Veri Bağlan or (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Dataminr Pulse Uyarıları Veri Bağlan veya daha hızlı tehdit algılama ve yanıt için yapay zeka destekli gerçek zamanlı zekamızı Microsoft Sentinel'e getirir.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Azure işlev uygulaması kodu https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Log Analytics tabloları DataminrPulse_Alerts_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Dataminr Desteği

Sorgu örnekleri

Dataminr Pulse Uyarıları Tüm alertType'lar için veriler

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Önkoşullar

Dataminr Pulse Alerts Data Bağlan or (Azure İşlevleri kullanarak) ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Azure Aboneliği: Bir uygulamayı Microsoft Entra Id'ye kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Gerekli Dataminr Kimlik Bilgileri/izinleri:

a. Kullanıcıların bu veri bağlayıcısını kullanabilmesi için geçerli bir Dataminr Pulse API istemci kimliğine ve gizli dizisine sahip olması gerekir.

b. Dataminr Pulse web sitesinde bir veya daha fazla Dataminr Pulse İzleme Listesi yapılandırılmalıdır.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerin Dataminr RTAP aracılığıyla gönderildiği DataminrPulse'a bağlanmak için Azure İşlevleri kullanır ve günlükleri Microsoft Sentinel'e alır. Ayrıca bağlayıcı, özel günlükler tablosundan alınan verileri getirir ve Tehdit Bilgileri Göstergelerini Microsoft Sentinel Tehdit Bilgileri'ne oluşturur. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1- Dataminr Pulse İstemci Kimliği ve İstemci Gizli Anahtarı kimlik bilgileri

  • Dataminr Customer Success Manager'ınızdan (CSM) Dataminr Pulse kullanıcı kimliği/parolası ve API istemci kimliği/gizli anahtarı alın.

ADIM 2- Dataminr Pulse portalında İzleme Listelerini yapılandırın.

Portalda izleme listelerini yapılandırmak için bu bölümdeki adımları izleyin:

  1. Dataminr Pulse web sitesinde oturum açın.

  2. Ayarlar dişli simgesine tıklayın ve Listeleri Yönet'i seçin.

  3. Oluşturmak istediğiniz İzleme Listesi türünü (Siber, Konu, Şirket vb.) seçin ve Yeni Liste düğmesine tıklayın.

  4. Yeni İzleme Listeniz için bir ad sağlayın ve bunun için bir vurgu rengi seçin veya varsayılan rengi koruyun.

  5. İzleme Listesini yapılandırmayı bitirdiğinizde Kaydetmek için Kaydet'e tıklayın.

ADIM 3 - Microsoft Entra Id'de Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portalında bir Uygulama kaydı gerekir. Microsoft Entra Id'de yeni bir uygulama oluşturmak için bu bölümdeki adımları izleyin:

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID öğesini arayıp seçin.
  3. Yönet'in altında Yeni kayıt Uygulama kayıtları'ı > seçin.
  4. Uygulamanız için bir görünen Ad girin.
  5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
  6. Kayıt tamamlandığında, Azure portalı uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) Kimliği ve Kiracı Kimliği'ni görürsünüz. DataminrPulse Data Bağlan or'ın yürütülmesi için yapılandırma parametreleri olarak istemci kimliği ve Kiracı Kimliği gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app

ADIM 4 - Microsoft Entra Id'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, DataminrPulse Data Bağlan or'ın yürütülmesi için gereken bir dize değeridir. Yeni bir gizli dizi oluşturmak için bu bölümdeki adımları izleyin:

  1. Azure portalındaki Uygulama kayıtları uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler İstemci gizli > dizileri > Yeni istemci gizli dizisi'ni seçin.
  3. İstemci gizli diziniz için bir açıklama ekleyin.
  4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
  5. Ekle'yi seçin.
  6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu sayfadan ayrıldıktan sonra bu gizli anahtar değeri hiçbir zaman görüntülenmez. Gizli dizi değeri DataminrPulse Data Bağlan or'ın yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5. ADIM - Microsoft Entra Id'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

  1. Azure portalında Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
  2. Sol panelden Erişim denetimine (IAM) gidin.
  3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
  4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
  5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
  6. Üye ekle'ye tıklayın, oluşturduğunuz uygulama adınızı yazın ve seçin.
  7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı:/azure/role-based-access-control/role-assignments-portal

ADIM 6 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Dataminr Pulse Microsoft Sentinel veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nı (aşağıdakilerden kopyalanabilir) hazır olarak kullanabilirsiniz.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

DataminrPulse bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı UyarılarıTableName BaseURL ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Dataminr Pulse Microsoft Sentinel veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

  1. İşlev Uygulaması Dağıtma

Not

VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. DmPulseXXXXXX).

    e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

  1. İşlev Uygulamasını Yapılandırma
  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini kendi değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı UyarılarıTableName BaseURL ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (isteğe bağlı)
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

ADIM 7 - Dağıtım sonrası adımları

  1. İşlev uygulaması uç noktasını alma
  1. Azure işlevine Genel Bakış sayfasına gidin ve sol dikey penceredeki "İşlevler"e tıklayın.
  2. "DataminrPulseAlertsHttpStarter" adlı işleve tıklayın.
  3. "GetFunctionurl" bölümüne gidin ve işlev URL'sini kopyalayın.
  4. Kopyalanan işlev URL'sinde {functionname} öğesini "DataminrPulseAlertsSentinelOrchestrator" ile değiştirin.
  1. dataminr RTAP'de işlev URL'sini kullanarak tümleştirme ayarları eklemek için
  1. Postman gibi herhangi bir API istek aracını açın.
  2. Yeni bir istek oluşturmak için '+' öğesine tıklayın.
  3. HTTP istek yöntemini 'POST' olarak seçin.
  4. İstek URL'si bölümüne, 1. noktada ön ön ön ödeme yapılan URL'yi girin.
  5. Gövde'de ham JSON'ı seçin ve istek gövdesini aşağıdaki gibi sağlayın (büyük/küçük harfe duyarlı): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Gerekli tüm ayrıntıları sağladıktan sonra Gönder'e tıklayın.
  7. HTTP yanıtında durum kodu 200 olan bir tümleştirme ayarı kimliği alırsınız.
  8. Daha sonra başvurmak için Tümleştirme Kimliğini kaydedin.

Artık Dataminr RTAP için tümleştirme ayarları ekleme işlemi tamamlandı. Dataminr RTAP bir uyarı verisi gönderdikten sonra İşlev uygulaması tetikler ve Dataminr Pulse'tan LogAnalytics çalışma alanı tablosundaki "DataminrPulse_Alerts_CL" adlı Uyarılar verilerini görebilmeniz gerekir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.