適用於 Microsoft Sentinel 的數位陰影搜尋燈 (使用 Azure Functions) 連接器
Digital Shadows 數據連接器會使用 REST API,從 Digital Shadows Searchlight 擷取事件和警示到 Microsoft Sentinel。 連接器會提供事件和警示資訊,以協助檢查、診斷和分析潛在的安全性風險和威脅。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| 應用程式設定 | DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (選擇性)(新增函數應用程式所需的任何其他設定)將值設定 DigitalShadowsURL為:將值設定為:將值設定為:將值設定HighVariabilityClassificationsClassificationFilterOperation為:exposed-credential,marked-documentexclude https://api.searchlight.app/v1針對排除函式應用程式或include包含函式應用程式 |
| Azure 函式應用程式程式代碼 | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip |
| Log Analytics 數據表(s) | DigitalShadows_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | 數字陰影 |
查詢範例
依最近引發時間排序的所有數字陰影事件和警示
DigitalShadows_CL
| order by raised_t desc
必要條件
若要與 Digital Shadows Searchlight 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- REST API 認證/許可權: 需要數位陰影帳戶標識碼、秘密和密鑰 。 請參閱檔,以深入瞭解 上的
https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionAPI。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到「數位陰影搜尋燈」,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 -「數位陰影搜尋燈」API 的設定步驟
提供者應該提供或連結至詳細步驟,以設定「數位陰影搜尋燈」API 端點,讓 Azure 函式可以成功驗證、取得其授權密鑰或令牌,並將設備的記錄提取至 Microsoft Sentinel。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 在部署「數位陰影搜尋燈」連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及「數位陰影搜尋燈」API 授權密鑰(s)或令牌,可供立即使用。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法自動部署「數位陰影搜尋燈」連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區 標識碼、 工作區密鑰、 API 用戶名稱、 API 密碼、『和/或其他必要欄位』。
注意:如果針對上述任何值使用 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,使用 Azure Functions 手動部署「數位陰影搜尋燈」連接器。
建立函數應用程式
從 Azure 入口網站,流覽至 [函式應用程式]。
按兩下 頂端的 [+ 建立 ]。
在 [ 基本] 索引標籤中 ,確定運行時間堆疊已設定為 python 3.8。
在 [裝載] 索引標籤中,確定 [方案類型] 設定為 [取用 ][無伺服器]。 5.select 儲存體 帳戶
「新增其他必要組態」。
「視需要進行其他建議的組態變更」,然後按兩下 [ 建立]。
匯入函式應用程式代碼(Zip 部署)
安裝 Azure CLI
從終端機類型,
az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File>按 Enter 鍵。 將ResourceGroup值設定為:您的資源組名。 將FunctionApp值設定為:您新建立的函式應用程式名稱。 將Zip File值設定為:digitalshadowsConnector.zip(zip 檔案的路徑)。 注意:- 從鏈接下載 zip 檔案 - 函式應用程式程式代碼設定函式應用程式
在 [函式應用程式] 畫面中,按兩下 [函式應用程式名稱],然後選取 [ 組態]。
在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
個別新增下列每個 'x(number of)' 應用程式設定, 在 [名稱] 底下,其各自的字串值(區分大小寫)下的值:DigitalShadowsAccountID WorkspaceID WorkspaceID WorkspaceKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (選擇性) (新增函數應用程式所需的任何其他設定) 將值設定
DigitalShadowsURL為:將值設定為:https://api.searchlight.app/v1exposed-credential,marked-document設定值: 設定HighVariabilityClassificationsClassificationFilterOperation值至:exclude針對排除函式應用程式或include包含函式應用程式
注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需進一步的詳細數據,請參閱 Azure 金鑰保存庫 參考檔。
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。
- 輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。