Dataminr Pulse Alerts Data 連線 or (使用 Azure Functions) 連接器 for Microsoft Sentinel
Dataminr Pulse Alerts Data 連線 or 將 AI 支援的即時情報帶入 Microsoft Sentinel,以加快威脅偵測和回應的速度。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-DataminrPulseAlerts-functionapp |
Log Analytics 數據表(s) | DataminrPulse_Alerts_CL |
數據收集規則支援 | 目前不支援 |
支援者: | Dataminr 支援 |
查詢範例
所有 alertTypes 的 Dataminr Pulse 警示數據
DataminrPulse_Alerts_CL
| sort by TimeGenerated desc
必要條件
若要與 Dataminr Pulse Alerts Data 連線 or (使用 Azure Functions) 整合,請確定您有:
- Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 Microsoft Entra ID 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- 必要的 Dataminr 認證/許可權:
a. 用戶必須具有有效的 Dataminr Pulse API 用戶端識別碼 和 秘密 ,才能使用此數據連接器。
b. 必須在 Dataminr Pulse 網站中設定一或多個 Dataminr Pulse 監看清單。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 DataminrPulse,其中記錄會透過 Dataminr RTAP 推送,並將記錄內嵌至 Microsoft Sentinel。 此外,連接器會從自定義記錄數據表擷取內嵌的數據,並將威脅情報指標建立至 Microsoft Sentinel 威脅情報。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1- Dataminr Pulse 用戶端識別碼和用戶端密碼的認證
- 從 Dataminr 客戶成功管理員取得 Dataminr Pulse 用戶識別碼/密碼和 API 用戶端識別碼/秘密。
步驟 2- 在 Dataminr Pulse 入口網站中設定關注清單。
請遵循本節中的步驟,在入口網站中設定關注清單:
登入 Dataminr Pulse 網站。
按兩下設定齒輪圖示,然後選取 [ 管理清單]。
選取您要建立的監看清單類型(網路、主題、公司等),然後按兩下 [ 新增清單 ] 按鈕。
提供新關注清單的名稱,併為其選取醒目提示色彩,或保留預設色彩。
當您完成設定監看清單時,請按兩下 [ 儲存 ] 加以儲存。
步驟 3 - Microsoft Entra ID 中應用程式的應用程式註冊步驟
此整合需要在 Azure 入口網站 中註冊應用程式。 請遵循本節中的步驟,在 Microsoft Entra ID 中建立新的應用程式:
- 登入 Azure 入口網站。
- 搜尋並選取 Microsoft Entra ID。
- 在「管理」下方,選取 [應用程式註冊] > [新增註冊]。
- 輸入應用程式的顯示 [名稱]。
- 選取 [註冊] 以完成伺服器初始註冊。
- 註冊完成時,Azure 入口網站會顯示應用程式註冊的 [概觀] 窗格。 您會看到應用程式(用戶端)識別碼和租使用者識別碼。 用戶端標識碼和租用戶標識碼是執行 DataminrPulse Data 連線 or 的組態參數。
參考連結:/azure/active-directory/develop/quickstart-register-app
步驟 4 - 在 Microsoft Entra ID 中新增應用程式的客戶端密碼
有時稱為應用程式密碼,客戶端密碼是執行 DataminrPulse Data 連線 or 所需的字串值。 請遵循本節中的步驟來建立新的客戶端密碼:
- 在 Azure 入口網站的應用程式註冊中,選取您的應用程式。
- 選取 [ 憑證與秘密 > ] [客戶端密碼 > ] [新增客戶端密碼]。
- 新增用戶端祕密的描述。
- 選取祕密的到期日,或指定自訂存留期。 限制為24個月。
- 選取 [新增]。
- 記錄密碼的值以在客戶端應用程式程式碼中使用。 離開此頁面後,就「不會再次顯示」此祕密值。 執行 DataminrPulse Data 連線 or 時,需要秘密值作為組態參數。
參考連結:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
步驟 5 - 在 Microsoft Entra ID 中將參與者的角色指派給應用程式
請遵循本節中的步驟來指派角色:
- 在 [Azure 入口網站] 中,移至 [資源群組],然後選取您的資源群組。
- 從左面板移至訪問控制 (IAM)。
- 按兩下 [ 新增],然後選取 [ 新增角色指派]。
- 選取 [ 參與者 ] 作為角色,然後按兩下 [下一步]。
- 在 [指派存取權給] 中,選取
User, group, or service principal
。 - 按兩下 [ 新增成員 ],然後輸入 您已建立的應用程式名稱 並加以選取。
- 現在按兩下 [ 檢閱 + 指派 ],然後按兩下 [ 檢閱 + 指派]。
參考連結:/azure/role-based-access-control/role-assignments-portal
步驟 6 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 在部署 Dataminr Pulse Microsoft Sentinel 數據連接器之前,請隨時提供工作區標識符和工作區主鍵(可從下列內容複製)。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法來自動部署 DataminrPulse 連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入下列資訊:函式名稱工作區標識符工作區密鑰 AlertsTableName BaseURL ClientId ClientSecret AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel
標示為 [我同意上述條款及條件] 的複選框。
按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,透過 Azure Functions 手動部署 Dataminr Pulse Microsoft Sentinel 數據連接器(透過 Visual Studio Code 部署)。
- 部署函式應用程式
注意
您必須準備 VS 程式代碼以進行 Azure 函式開發。
下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層資料夾。
選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。
c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 DmPulseXXXXX)。
e. 選取運行時間: 選擇 Python 3.8 或更新版本。
f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域 。
部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
移至 Azure 入口網站以取得函式應用程式設定。
- 設定函式應用程式
- 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
- 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
- 以個別值個別新增下列每個應用程式設定(區分大小寫):函式名稱工作區標識符工作區密鑰 AlertsTableName BaseURL ClientId ClientSecret AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceionId AzureSubscriptionId Schedule LogLevel logAnalyticsUri (選擇性)
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
。
- 輸入所有應用程式設定之後,按兩下 [ 儲存]。
步驟 7 - 部署後步驟
- 取得函式應用程式端點
- 移至 [Azure 函式概觀] 頁面,然後按兩下 左刀鋒視窗中的 [函式 ]。
- 按兩下名為 「DataminrPulseAlerts HttpStarter」 的函式。
- 移至 「GetFunctionurl」 ,並複製函式 URL。
- 將 {functionname} 取代為複製函式 URL 中的 “DataminrPulseAlertsSentinelOrchestrator”。
- 使用函式 URL 在 Dataminr RTAP 中新增整合設定
- 開啟任何 API 要求工具,例如 Postman。
- 按兩下 [+] 以建立新的要求。
- 選取 [HTTP 要求方法] 作為 [POST]。
- 在要求 URL 元件中,輸入預報於 第 1 點的 URL。
- 在 [本文] 中,選取原始 JSON 並提供要求本文,如下所示(區分大小寫):{ “integration-settings”: “ADD”, “url”: “
(URL part from copied Function-url)
”, “token”: “(value of code parameter from copied Function-url)
” } - 提供所有必要的詳細數據之後,按兩下 [ 傳送]。
- 您將會收到 HTTP 回應中的整合設定標識碼,狀態代碼為 200。
- 儲存 整合標識碼 以供日後參考。
現在,我們已完成新增 Dataminr RTAP 的整合設定。 Dataminr RTAP 傳送警示數據之後,就會觸發函式應用程式,而且您應該能夠看到 Dataminr Pulse 中的警示數據到名為 “DataminrPulse_Alerts_CL” 的 LogAnalytics 工作區數據表。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。