Dataminr Pulse Alerts Data 連線 or (使用 Azure Functions) 連接器 for Microsoft Sentinel

  • 發行項

Dataminr Pulse Alerts Data 連線 or 將 AI 支援的即時情報帶入 Microsoft Sentinel,以加快威脅偵測和回應的速度。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Azure 函式應用程式程式代碼 https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Log Analytics 數據表(s) DataminrPulse_Alerts_CL
數據收集規則支援 目前不支援
支援者: Dataminr 支援

查詢範例

所有 alertTypes 的 Dataminr Pulse 警示數據

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

必要條件

若要與 Dataminr Pulse Alerts Data 連線 or (使用 Azure Functions) 整合,請確定您有:

  • Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 Microsoft Entra ID 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • 必要的 Dataminr 認證/許可權

a. 用戶必須具有有效的 Dataminr Pulse API 用戶端識別碼秘密 ,才能使用此數據連接器。

b. 必須在 Dataminr Pulse 網站中設定一或多個 Dataminr Pulse 監看清單。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 DataminrPulse,其中記錄會透過 Dataminr RTAP 推送,並將記錄內嵌至 Microsoft Sentinel。 此外,連接器會從自定義記錄數據表擷取內嵌的數據,並將威脅情報指標建立至 Microsoft Sentinel 威脅情報。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

步驟 1- Dataminr Pulse 用戶端識別碼和用戶端密碼的認證

  • 從 Dataminr 客戶成功管理員取得 Dataminr Pulse 用戶識別碼/密碼和 API 用戶端識別碼/秘密。

步驟 2- 在 Dataminr Pulse 入口網站中設定關注清單。

請遵循本節中的步驟,在入口網站中設定關注清單:

  1. 登入 Dataminr Pulse 網站

  2. 按兩下設定齒輪圖示,然後選取 [ 管理清單]。

  3. 選取您要建立的監看清單類型(網路、主題、公司等),然後按兩下 [ 新增清單 ] 按鈕。

  4. 提供新關注清單的名稱,併為其選取醒目提示色彩,或保留預設色彩。

  5. 當您完成設定監看清單時,請按兩下 [ 儲存 ] 加以儲存。

步驟 3 - Microsoft Entra ID 中應用程式的應用程式註冊步驟

此整合需要在 Azure 入口網站 中註冊應用程式。 請遵循本節中的步驟,在 Microsoft Entra ID 中建立新的應用程式:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 Microsoft Entra ID
  3. 「管理」下方,選取 [應用程式註冊] > [新增註冊]
  4. 輸入應用程式的顯示 [名稱]
  5. 選取 [註冊] 以完成伺服器初始註冊。
  6. 註冊完成時,Azure 入口網站會顯示應用程式註冊的 [概觀] 窗格。 您會看到應用程式(用戶端)識別碼租使用者識別碼。 用戶端標識碼和租用戶標識碼是執行 DataminrPulse Data 連線 or 的組態參數。

參考連結:/azure/active-directory/develop/quickstart-register-app

步驟 4 - 在 Microsoft Entra ID 中新增應用程式的客戶端密碼

有時稱為應用程式密碼,客戶端密碼是執行 DataminrPulse Data 連線 or 所需的字串值。 請遵循本節中的步驟來建立新的客戶端密碼:

  1. 在 Azure 入口網站的應用程式註冊中,選取您的應用程式。
  2. 選取 [ 憑證與秘密 > ] [客戶端密碼 > ] [新增客戶端密碼]。
  3. 新增用戶端祕密的描述。
  4. 選取祕密的到期日,或指定自訂存留期。 限制為24個月。
  5. 選取 [新增]。
  6. 記錄密碼的值以在客戶端應用程式程式碼中使用。 離開此頁面後,就「不會再次顯示」此祕密值。 執行 DataminrPulse Data 連線 or 時,需要秘密值作為組態參數。

參考連結:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步驟 5 - 在 Microsoft Entra ID 中將參與者的角色指派給應用程式

請遵循本節中的步驟來指派角色:

  1. 在 [Azure 入口網站] 中,移至 [資源群組],然後選取您的資源群組。
  2. 從左面板移至訪問控制 (IAM)。
  3. 按兩下 [ 新增],然後選取 [ 新增角色指派]。
  4. 選取 [ 參與者 ] 作為角色,然後按兩下 [下一步]。
  5. 在 [指派存取權給],選取 User, group, or service principal
  6. 按兩下 [ 新增成員 ],然後輸入 您已建立的應用程式名稱 並加以選取。
  7. 現在按兩下 [ 檢閱 + 指派 ],然後按兩下 [ 檢閱 + 指派]。

參考連結:/azure/role-based-access-control/role-assignments-portal

步驟 6 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 在部署 Dataminr Pulse Microsoft Sentinel 數據連接器之前,請隨時提供工作區標識符和工作區主鍵(可從下列內容複製)。

選項 1 - Azure Resource Manager (ARM) 範本

使用此方法來自動部署 DataminrPulse 連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入下列資訊:函式名稱工作區標識符工作區密鑰 AlertsTableName BaseURL ClientId ClientSecret AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. 標示為 [我同意上述條款及條件] 的複選框。

  5. 按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示,透過 Azure Functions 手動部署 Dataminr Pulse Microsoft Sentinel 數據連接器(透過 Visual Studio Code 部署)。

  1. 部署函式應用程式

注意

您必須準備 VS 程式代碼以進行 Azure 函式開發。

  1. 下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從擷取的檔案中選取最上層資料夾。

  4. 選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。

    b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。

    c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 DmPulseXXXXX)。

    e. 選取運行時間: 選擇 Python 3.8 或更新版本。

    f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域

  6. 部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。

  7. 移至 Azure 入口網站以取得函式應用程式設定。

  1. 設定函式應用程式
  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
  2. 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
  3. 以個別值個別新增下列每個應用程式設定(區分大小寫):函式名稱工作區標識符工作區密鑰 AlertsTableName BaseURL ClientId ClientSecret AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceionId AzureSubscriptionId Schedule LogLevel logAnalyticsUri (選擇性)
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值: https://<CustomerId>.ods.opinsights.azure.us
  1. 輸入所有應用程式設定之後,按兩下 [ 儲存]。

步驟 7 - 部署後步驟

  1. 取得函式應用程式端點
  1. 移至 [Azure 函式概觀] 頁面,然後按兩下 左刀鋒視窗中的 [函式 ]。
  2. 按兩下名為 「DataminrPulseAlerts HttpStarter」 的函式。
  3. 移至 「GetFunctionurl」 ,並複製函式 URL。
  4. 將 {functionname} 取代複製函式 URL 中的 “DataminrPulseAlertsSentinelOrchestrator”。
  1. 使用函式 URL 在 Dataminr RTAP 中新增整合設定
  1. 開啟任何 API 要求工具,例如 Postman。
  2. 按兩下 [+] 以建立新的要求。
  3. 選取 [HTTP 要求方法] 作為 [POST]。
  4. 在要求 URL 元件中,輸入預報於 第 1 點的 URL。
  5. 在 [本文] 中,選取原始 JSON 並提供要求本文,如下所示(區分大小寫):{ “integration-settings”: “ADD”, “url”: “(URL part from copied Function-url)”, “token”: “(value of code parameter from copied Function-url)” }
  6. 提供所有必要的詳細數據之後,按兩下 [ 傳送]。
  7. 您將會收到 HTTP 回應中的整合設定標識碼,狀態代碼為 200。
  8. 儲存 整合標識碼 以供日後參考。

現在,我們已完成新增 Dataminr RTAP 的整合設定。 Dataminr RTAP 傳送警示數據之後,就會觸發函式應用程式,而且您應該能夠看到 Dataminr Pulse 中的警示數據到名為 “DataminrPulse_Alerts_CL” 的 LogAnalytics 工作區數據表。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案