Connettore SIGNL4 derdack per Microsoft Sentinel

  • Articolo

Quando si verificano errori o incidenti di sicurezza critici, SIGNL4 collega il "miglio" al personale, ai tecnici, agli amministratori IT e ai lavoratori sul campo. Aggiunge avvisi mobili in tempo reale ai servizi, ai sistemi e ai processi in tempo reale. SIGNL4 invia una notifica tramite push mobile persistente, SMS e chiamate vocali con riconoscimento, rilevamento ed escalation. La pianificazione integrata dei compiti e dei turni garantisce che le persone giuste vengano avvisate al momento giusto.

Altre informazioni>

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics SIGNL4_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Derdack

Esempi di query

Ottenere informazioni sullo stato e sugli avvisi SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Istruzioni di installazione fornitore

Nota

Questo connettore dati è configurato principalmente sul lato SIGNL4. È possibile trovare un video di descrizione qui: Integrare SIGNL4 con Microsoft Sentinel.

SIGNL4 Connessione or: il connettore SIGNL4 per Microsoft Sentinel, Centro sicurezza di Azure e altri provider di azure Graph API Sicurezza offre un'integrazione bidirezionale senza problemi con le soluzioni di sicurezza di Azure. Dopo l'aggiunta al team SIGNL4, il connettore leggerà gli avvisi di sicurezza da Azure Graph API Sicurezza e attiverà completamente automaticamente le notifiche di avviso ai membri del team in servizio. Lo stato dell'avviso verrà sincronizzato anche da SIGNL4 a Graph API Sicurezza, in modo che, se gli avvisi vengono riconosciuti o chiusi, questo stato viene aggiornato anche in base all'avviso di Azure Graph API Sicurezza o al provider di sicurezza corrispondente. Come accennato, il connettore usa principalmente azure Graph API Sicurezza, ma per alcuni provider di sicurezza, ad esempio Microsoft Sentinel, usa anche API REST dedicate da soluzioni di Azure.

Funzionalità di Microsoft Sentinel

Microsoft Sentinel è una soluzione SIEM nativa del cloud di Microsoft e un provider di avvisi di sicurezza in Azure Graph API Sicurezza. Tuttavia, il livello di dettagli degli avvisi disponibili con il API Sicurezza Graph è limitato per Microsoft Sentinel. Il connettore può quindi aumentare gli avvisi con altri dettagli (risultati della ricerca delle regole dettagliate), dall'area di lavoro Log Analytics di Microsoft Sentinel sottostante. Per poter eseguire questa operazione, il connettore comunica con l'API REST di Azure Log Analytics e richiede le autorizzazioni (vedere di seguito). Inoltre, l'app può anche aggiornare lo stato degli eventi imprevisti di Microsoft Sentinel, quando tutti gli avvisi di sicurezza correlati sono in corso o risolti. Per poter eseguire questa operazione, il connettore deve essere membro del gruppo "Collaboratori di Microsoft Sentinel" nella sottoscrizione di Azure. Distribuzione automatizzata in Azure Le credenziali necessarie per accedere alle API beforeshell vengono generate da un piccolo script di PowerShell che è possibile scaricare di seguito. Lo script esegue automaticamente le attività seguenti:

  • Accedere alla sottoscrizione di Azure (accedere con un account amministratore)
  • Crea una nuova applicazione aziendale per questo connettore nell'ID Microsoft Entra, detto anche entità servizio
  • Crea un nuovo ruolo in Azure IAM che concede l'autorizzazione di lettura/query solo alle aree di lavoro Di Azure Log Analytics.
  • Aggiunge l'applicazione aziendale a tale ruolo utente
  • Aggiunge l'applicazione aziendale al ruolo "Collaboratori di Microsoft Sentinel"
  • Restituisce alcuni dati che è necessario configurare l'app (vedere di seguito)

Procedura di distribuzione

  1. Scaricare lo script di distribuzione di PowerShell da qui.
  2. Esaminare lo script e i ruoli e gli ambiti di autorizzazione distribuiti per la nuova registrazione dell'app. Se non si vuole usare il connettore con Microsoft Sentinel, è possibile rimuovere tutto il codice di creazione e assegnazione di ruolo e usarlo solo per creare la registrazione dell'app (SPN) nell'ID Microsoft Entra.
  3. Eseguire lo script. Alla fine restituisce informazioni che è necessario immettere nella configurazione dell'app del connettore.
  4. In Microsoft Entra ID fare clic su "Registrazioni app". Trovare l'app con il nome "SIGNL4AzureSecurity" e aprirla
  5. Nel pannello del menu a sinistra fare clic su "Autorizzazioni API". Fare quindi clic su "Aggiungi un'autorizzazione".
  6. Nel pannello caricato, in 'API Microsoft' fare clic sul riquadro "Microsoft Graph", quindi fare clic su "Autorizzazione app".
  7. Nella tabella visualizzata espandere 'SecurityEvents' e selezionare 'SecurityEvents.Read.All' e 'SecurityEvents.ReadWrite.All'.
  8. Fare clic su "Aggiungi autorizzazioni".

Configurazione dell'app del connettore SIGNL4

Immettere infine gli ID restituiti dallo script nella configurazione del connettore:

  • ID tenant di Azure
  • ID dell'Abbonamento Azure
  • ID client (dell'applicazione aziendale)
  • Segreto client (dell'applicazione aziendale) Dopo aver abilitato l'app, inizierà a leggere gli avvisi di Azure Graph API Sicurezza.

NOTA: inizialmente leggerà solo gli avvisi che si sono verificati nelle ultime 24 ore.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.