Condividi tramite

Connettore DELL'API REST di Darktrace Connessione or per Microsoft Sentinel

  • Articolo

Il connettore dell'API REST Darktrace esegue il push degli eventi in tempo reale da Darktrace a Microsoft Sentinel ed è progettato per essere usato con la soluzione Darktrace per Sentinel. Il connettore scrive i log in una tabella di log personalizzata denominata "darktrace_model_alerts_CL"; È possibile inserire violazioni del modello, eventi imprevisti analista di intelligenza artificiale, avvisi di sistema e avvisi di posta elettronica. È possibile configurare filtri aggiuntivi nella pagina Configurazione del sistema Darktrace. I dati vengono inseriti in Sentinel dai master Darktrace.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics darktrace_model_alerts_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Darktrace

Esempi di query

Cercare avvisi di test

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Restituire le violazioni del modello darktrace con punteggio superiore

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Restituire gli eventi imprevisti dell'analista di intelligenza artificiale

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Restituire gli avvisi di integrità del sistema

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Restituire i log di posta elettronica per un mittente esterno specifico (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Prerequisiti

Per eseguire l'integrazione con Darktrace Connessione or per l'API REST di Microsoft Sentinel, assicurarsi di disporre di:

  • Prerequisiti darktrace: per usare questo Connessione or è necessario un master Darktrace che esegue v5.2+. I dati vengono inviati all'API dell'agente di raccolta dati HTTP di Monitoraggio di Azure su HTTP dai master Darktrace, pertanto è necessaria la connettività in uscita dal master Darktrace all'API REST di Microsoft Sentinel.
  • Filtra dati darktrace: durante la configurazione è possibile configurare filtri aggiuntivi nella pagina Configurazione sistema Darktrace per limitare la quantità o i tipi di dati inviati.
  • Provare la soluzione Darktrace Sentinel: è possibile sfruttare al meglio questo connettore installando la soluzione Darktrace per Microsoft Sentinel. In questo modo verranno fornite cartelle di lavoro per visualizzare i dati degli avvisi e le regole di analisi per creare automaticamente avvisi ed eventi imprevisti da violazioni del modello Darktrace e eventi imprevisti dell'analista di intelligenza artificiale.

Istruzioni di installazione fornitore

  1. Le istruzioni dettagliate per la configurazione sono disponibili nel portale per i clienti darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Prendere nota dell'ID area di lavoro e della chiave primaria. Sarà necessario immettere questi dettagli nella pagina Configurazione del sistema Darktrace.

Configurazione di Darktrace

  1. Seguire questa procedura nella pagina Configurazione del sistema Darktrace:
  2. Passare alla pagina Configurazione sistema (menu > principale Amministrazione > configurazione di sistema)
  3. Passare alla configurazione dei moduli e fare clic sulla scheda di configurazione "Microsoft Sentinel"
  4. Selezionare "HTTPS (JSON)" e premere "Nuovo"
  5. Compilare i dettagli necessari e selezionare i filtri appropriati
  6. Fare clic su "Verify Alert Impostazioni" (Verifica avviso Impostazioni) per tentare l'autenticazione e inviare un avviso di test
  7. Eseguire una query di esempio "Cerca avvisi di test" per verificare che l'avviso di test sia stato ricevuto

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.