適用於 Microsoft Sentinel 的 Darktrace 連線 or REST API 連接器

  • 發行項

Darktrace REST API 連接器會將即時事件從 Darktrace 推送至 Microsoft Sentinel,並設計為與 Sentinel 的 Darktrace 解決方案搭配使用。 連接器會將記錄寫入名為 「darktrace_model_alerts_CL」 的自訂記錄數據表;模型缺口、AI 分析師事件、系統警示和電子郵件警示可以擷取 - 您可以在 [深色追蹤系統設定] 頁面上設定其他篩選。 數據會從 Darktrace master 推送至 Sentinel。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) darktrace_model_alerts_CL
數據收集規則支援 目前不支援
支援者: Darktrace (英文)

查詢範例

尋找測試警示

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

傳回最高評分深追蹤模型缺口

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

傳回 AI 分析師事件

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

傳回系統健康情況警示

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

傳回特定外部寄件者的電子郵件記錄 (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

必要條件

若要與適用於 Microsoft Sentinel REST API 的 Darktrace 連線 or 整合,請確定您有:

  • 深色追蹤必要條件:若要使用此數據 連線 或執行 v5.2+ 的 Darktrace 主要復本是必要的。 數據會透過來自 Darktrace 主機的 HTTP 傳送至 Azure 監視器 HTTP 資料收集器 API ,因此需要從 Darktrace 主機到 Microsoft Sentinel REST API 的輸出連線。
  • 篩選深色追蹤數據:在設定期間,可以在 [Darktrace 系統設定] 頁面上設定其他篩選,以限制傳送的數據量或類型。
  • 嘗試 Darktrace Sentinel 解決方案:您可以安裝適用於 Microsoft Sentinel 的 Darktrace 解決方案,以充分利用此連接器。 這會提供活頁簿,以可視化警示數據和分析規則,以從 Darktrace 模型缺口和 AI 分析師事件自動建立警示和事件。

廠商安裝指示

  1. 您可以在 Darktrace 客戶入口網站上找到詳細的設定指示: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 記下工作區標識碼和主鍵。 您必須在 [深色追蹤系統設定] 頁面上輸入這些詳細數據。

Darktrace 組態

  1. 在 [Darktrace 系統組態] 頁面上執行下列步驟:
  2. 瀏覽至 [系統設定] 頁面(主選單 > 管理員 > [系統設定]
  3. 移至 [模組組態],然後按兩下 [Microsoft Sentinel] 設定卡片
  4. 選取 [HTTPS (JSON)],然後按 [新增]
  5. 填寫必要的詳細數據,然後選取適當的篩選
  6. 按兩下 [驗證警示 設定] 嘗試驗證並傳送測試警示
  7. 執行「尋找測試警示」範例查詢,以驗證是否已收到測試警示

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案