Connettore Digital Shadows Searchlight (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore dati Digital Shadows fornisce l'inserimento di eventi imprevisti e avvisi da Digital Shadows Searchlight in Microsoft Sentinel usando l'API REST. Il connettore fornirà le informazioni sugli eventi imprevisti e sugli avvisi in modo che consenta di esaminare, diagnosticare e analizzare i potenziali rischi e minacce per la sicurezza.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Impostazioni delle applicazioni DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (facoltativo)(aggiungere eventuali altre impostazioni richieste dall'app per le funzioni)Impostare il valore su: https://api.searchlight.app/v1Impostare il valore su: Impostare il ClassificationFilterOperation HighVariabilityClassifications valore su: exposed-credential,marked-documentexclude per escludere l'app per le funzioni o include per includere l'app DigitalShadowsURL per le funzioni
Codice dell'app per le funzioni di Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabelle di Log Analytics DigitalShadows_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Ombre digitali

Esempi di query

Tutti gli eventi imprevisti e gli avvisi di Digital Shadows ordinati in base all'ora più recente generata

DigitalShadows_CL 
| order by raised_t desc

Prerequisiti

Per l'integrazione con Digital Shadows Searchlight (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali/autorizzazioni dell'API REST: è necessario l'ID dell'account Shadows digitale, il segreto e la chiave . Vedere la documentazione per altre informazioni sull'API in https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi a "Digital Shadows Searchlight" per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API 'Digital Shadows Searchlight'

Il provider deve fornire o collegare i passaggi dettagliati per configurare l'endpoint dell'API "Digital Shadows Searchlight" in modo che la funzione di Azure possa eseguire correttamente l'autenticazione, ottenere la chiave di autorizzazione o il token e estrarre i log dell'appliance in Microsoft Sentinel.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore "Digital Shadows Searchlight", disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché le chiavi di autorizzazione API "Digital Shadows Searchlight" o Token, immediatamente disponibili.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore "Digital Shadows Searchlight".

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome utente dell'API, la password dell'API, i campi 'e/o Altri campi obbligatori'.

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo con etichetta Accetto i termini e le condizioni indicati in precedenza. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore "Digital Shadows Searchlight" con Funzioni di Azure.

  1. Creare un'app per le funzioni

  2. Nel portale di Azure passare a App per le funzioni.

  3. Fare clic su + Crea nella parte superiore.

  4. Nella scheda Informazioni di base verificare che lo stack di runtime sia impostato su Python 3.8.

  5. Nella scheda Hosting verificare che tipo di piano sia impostato su "Consumo (serverless)". 5.select Archiviazione account

  6. 'Aggiungere altre configurazioni necessarie'.

  7. "Apportare altre modifiche di configurazione preferibili", se necessario, quindi fare clic su Crea.

  8. Importare il codice dell'app per le funzioni (distribuzione zip)

  9. Installazione dell'interfaccia della riga di comando di Azure

  10. Dal tipo di az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> terminale e premere INVIO. Impostare il ResourceGroup valore su: nome del gruppo di risorse. Impostare il FunctionApp valore su: nome dell'app per le funzioni appena creata. Impostare il Zip File valore su: digitalshadowsConnector.zip(percorso del file ZIP). Nota: scaricare il file ZIP dal collegamento - Codice dell'app per le funzioni

  11. Configurare l'app per le funzioni

  12. Nella schermata App per le funzioni fare clic sul nome dell'app per le funzioni e selezionare Configurazione.

  13. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

  14. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione "x (numero di)" seguenti, in Nome, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole) in Valore: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (facoltativo) (aggiungere eventuali altre impostazioni richieste dall'app per le funzioni) Impostare il valore su: Impostare il DigitalShadowsURL valore su: Impostare il HighVariabilityClassifications valore su: Impostare il valore su: https://api.searchlight.app/v1 exposed-credential,marked-document Imposta the ClassificationFilterOperation valore a: exclude per escludere l'app per le funzioni o include per includere l'app per le funzioni

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Azure Key Vault.

  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.
  1. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.