適用於 Microsoft Sentinel 的 Derdack SIGNL4 連接器

  • 發行項

當重大系統失敗或發生安全性事件時,SIGNL4 會將「最後一英里」橋接給您的員工、工程師、IT 系統管理員和字段中的員工。 它會將即時行動警示新增至您的服務、系統和處理程式。 SIGNL4 會透過持續的行動推播、簡訊文字和語音通話,通知通知、追蹤和呈報。 綜合值班和班次排程可確保正確的人員在正確的時間收到警示。

深入了解>

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) SIGNL4_CL
數據收集規則支援 目前不支援
支援者: Derdack

查詢範例

取得SIGNL4警示和狀態資訊。

SecurityIncident

| where Labels contains "SIGNL4"

廠商安裝指示

注意

此數據連接器主要設定於SIGNL4端。 您可以在這裡找到描述影片:整合 SIGNL4 與 Microsoft Sentinel

SIGNL4 連線 or:適用於 Microsoft Sentinel、Azure 資訊安全中心 和其他 Azure Graph 安全性 API 提供者的 SIGNL4 連接器提供與 Azure 安全性解決方案的無縫 2 向整合。 新增至 SIGNL4 小組之後,連接器會從 Azure Graph 安全性 API 讀取安全性警示,並自動觸發警示通知給值班的小組成員。 它也會將警示狀態從SIGNL4同步至 Graph 安全性 API,因此,如果已認可或關閉警示,此狀態也會根據 Azure Graph 安全性 API 警示或對應的安全性提供者更新。 如前所述,連接器主要使用 Azure Graph 安全性 API,但對於某些安全性提供者,例如 Microsoft Sentinel,它也會使用來自 Azure 解決方案的專用 REST API。

Microsoft Sentinel 功能

Microsoft Sentinel 是 Microsoft 的雲端原生 SIEM 解決方案,也是 Azure Graph 中安全性警示提供者 安全性 API。 不過,Graph 安全性 API 可用的警示詳細數據層級僅限於 Microsoft Sentinel。 因此,連接器可以從基礎 Microsoft Sentinel Log Analytics 工作區使用進一步的詳細數據(深入解析規則搜尋結果)來增強警示。 為了能夠做到這一點,連接器會與 Azure Log Analytics REST API 通訊,並根據許可權需要 (請參閱下文)。 此外,當所有相關的安全性警示正在進行中或已解決時,應用程式也可以更新 Microsoft Sentinel 事件的狀態。 若要能夠這麼做,連接器必須是 Azure 訂用帳戶中「Microsoft Sentinel 參與者」群組的成員。 Azure 中的自動化部署:存取先前所述的 API 所需的認證是由您可以下載的小型 PowerShell 腳本所產生。 文稿會為您執行下列工作:

  • 登入您的 Azure 訂用帳戶(請使用系統管理員帳戶登入)
  • 在您的 Microsoft Entra 識別符中建立此連接器的新企業應用程式,也稱為服務主體
  • 在您的 Azure IAM 中建立新的角色,將讀取/查詢許可權授與只有 Azure Log Analytics 工作區。
  • 將企業應用程式加入該使用者角色
  • 將企業應用程式加入「Microsoft Sentinel 參與者」角色
  • 輸出您需要設定應用程式的資料(請參閱下方)

部署程式

  1. 從這裡下載PowerShell部署腳本。
  2. 檢閱文本及其針對新應用程式註冊所部署的角色和許可權範圍。 如果您不想將連接器與 Microsoft Sentinel 搭配使用,您可以移除所有角色建立和角色指派程式代碼,並只使用它在 Microsoft Entra ID 中建立應用程式註冊 (SPN)。
  3. 執行指令碼。 最後,它會輸出您需要在連接器應用程式組態中輸入的資訊。
  4. 在 Microsoft Entra ID 中,按兩下 [應用程式註冊]。 尋找名稱為 『SIGNL4AzureSecurity』 的應用程式,並開啟其詳細數據
  5. 在左側功能表刀鋒視窗上,單擊 [API 許可權]。 然後按兩下 [新增許可權]。
  6. 在載入的刀鋒視窗上,按兩下 [Microsoft API] 底下的 [Microsoft Graph] 圖格,然後按下 [應用程式許可權]。
  7. 在顯示的數據表中,展開 [SecurityEvents] 並檢查 'SecurityEvents.Read.All' 和 'SecurityEvents.ReadWrite.All'。
  8. 按兩下 [新增許可權]。

設定SIGNL4連接器應用程式

最後,輸入文稿在連接器組態中輸出的識別碼:

  • Azure 租用戶標識碼
  • Azure 訂閱識別碼
  • 用戶端識別碼 (企業應用程式)
  • 用戶端密碼 (企業應用程式) 一旦啟用應用程式,就會開始讀取 Azure Graph 安全性 API 警示。

注意: 一開始只會讀取過去 24 小時內發生的警示。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案