Microsoft Sentinel 用 Dataminr Pulse Alerts データ コネクタ (Azure Functions を使用) コネクタ

  • [アーティクル]

Dataminr Pulse Alerts データ コネクタは、脅威の検出と対応を高速化するために、AI を利用したリアルタイム インテリジェンスを Microsoft Sentinel に取り込みます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Log Analytics テーブル DataminrPulse_Alerts_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Dataminr のサポート

クエリのサンプル

すべての alertTypes の Dataminr Pulse Alerts データ

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

前提条件

Dataminr Pulse Alerts データ コネクタと統合 (Azure Functions を使用) するには、次があることを確認します。

  • Azure サブスクリプション: Microsoft Entra ID でアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • 必要な Dataminr 資格情報またはアクセス許可:

a. このデータ コネクタを使用するには、有効な Dataminr Pulse API クライアント IDシークレットが必要です。

b. Dataminr Pulse Web サイトで 1 つ以上の Dataminr Pulse ウォッチリストを構成する必要があります。

ベンダーのインストール手順

Note

このコネクタでは、Azure Functions を使用して DataminrPulse に接続します。この場合、Dataminr RTAP 経由でログがプッシュされ、Microsoft Sentinel にログが取り込まれます。 さらに、コネクタではカスタム ログ テーブルから取り込まれたデータをフェッチし、脅威インテリジェンス インジケーターを Microsoft Sentinel 脅威インテリジェンスに作成します。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1- Dataminr Pulse クライアント ID とクライアント シークレットの資格情報

  • Dataminr Customer Success Manager (CSM) から Dataminr Pulse のユーザー ID/パスワードと API クライアント ID/シークレットを取得します。

手順 2- Dataminr Pulse ポータルでウォッチリストを構成する。

ポータルでウォッチリストを構成するには、このセクションの手順に従います。

  1. Dataminr Pulse の Web サイトログインします。

  2. 設定の歯車アイコンをクリックし、[リストの管理] を選択します。

  3. 作成するウォッチリストの種類 (サイバー、トピック、会社など) を選択し、[新しいリスト] ボタンをクリックします。

  4. 新しいウォッチリストの名前を指定し、その強調表示の色を選択するか、既定の色のままにします。

  5. ウォッチリストの構成が完了したら、[保存] をクリックして保存します。

手順 3 - Microsoft Entra ID でのアプリケーションのアプリ登録手順

この統合には、Azure portal でのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra ID で新しいアプリケーションを作成します。

  1. Azure portal にサインインします。
  2. Microsoft Entra ID を検索して選択します。
  3. [管理] で、[アプリの登録] > [新規登録] を選びます。
  4. アプリケーションの表示を入力します。
  5. [登録] を選択して、初期のアプリ登録を完了します。
  6. 登録が完了すると、Azure portal に、アプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID][テナント ID] があります。 DataminrPulse Data Connector を実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。

参照リンク:/azure/active-directory/develop/quickstart-register-app

手順 4 - Microsoft Entra ID でアプリケーションのクライアント シークレットを追加する

アプリケーション パスワードと呼ばれることもあるクライアント シークレットは、DataminrPulse Data Connector の実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。

  1. Azure portal の [アプリの登録] で、対象のアプリケーションを選択します。
  2. [証明書 & シークレット]>[クライアント シークレット]>[新しいクライアント シークレット] を選択します。
  3. クライアント シークレットの説明を追加します。
  4. シークレットの有効期限を選択するか、カスタムの有効期間を指定します。 制限は 24 か月です。
  5. [追加] を選択します。
  6. クライアント アプリケーションのコードで使用できるように、"シークレットの値を記録します"。 このページからの移動後は、このシークレットの値は "二度と表示されません"。 シークレット値は、DataminrPulse Data Connector を実行するための構成パラメーターとして必要です。

参照リンク:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

手順 5 - Microsoft Entra ID でアプリケーションに共同作成者のロールを割り当てる

このセクションの手順に従って、ロールを割り当てます。

  1. Azure portal で [リソース グループ] に移動し、自分のリソース グループを選択します。
  2. 左側のパネルから [アクセスの制御 (IAM)] に移動します。
  3. [+ 追加] をクリックし、[ロールの割り当ての追加] を選択します
  4. ロールとして [共同作成者] を選択し、[次へ] をクリックします。
  5. [アクセスの割り当て先] で [User, group, or service principal] を選択します。
  6. [メンバーの追加] をクリックし、作成したアプリ名を入力して選択します。
  7. [確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。

参照リンク:/azure/role-based-access-control/role-assignments-portal

手順 6 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Dataminr Pulse Microsoft Sentinel データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーをすぐに使用できるように用意してください (次からコピーできます)。

オプション 1 - Azure Resource Manager (ARM) テンプレート

DataminrPulse コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 次の情報を入力します: Function Name Workspace ID Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使用して Dataminr Pulse Microsoft Sentinel データ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code 経由のデプロイ)。

  1. 関数アプリをデプロイする

Note

Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: DmPulseXXXXX)。

    e. Select a runtime (ランタイムの選択): Python 3.8 以上を選択します。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

  1. 関数アプリを構成する
  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
  2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
  3. それぞれの値と共に次の各アプリケーション設定を個別に追加しします (大文字と小文字を区別): Function Name Workspace ID Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (省略可能)
  • logAnalyticsUri を使用して、専用クラウドの Log Analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

手順 7 - デプロイ後の手順

  1. 関数アプリ エンドポイントを取得する
  1. Azure 関数の [概要] ページに移動し、左側のブレードで [関数] をクリックします。
  2. "DataminrPulseAlertsHttpStarter" という関数をクリックします。
  3. [GetFunctionurl] に移動し、関数の URL をコピーします。
  4. コピーした関数 URL の {functionname}"DataminrPulseAlertsSentinelOrchestrator" に置き換えます。
  1. 関数 URL を使用して Dataminr RTAP に統合設定を追加するには
  1. Postman などの API 要求ツールを開きます。
  2. [+] をクリックして新しい要求を作成します。
  3. HTTP 要求メソッドを 'POST' として 選択します。
  4. 要求 URL 部分に、ポイント 1) で事前に作成された URL を入力します。
  5. 本文で生の JSON を選択し、次のように要求本文を指定します (大文字と小文字が区別されます): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. 必要なすべての詳細を入力したら、[送信] をクリックします。
  7. HTTP 応答に統合設定 ID が表示され、状態コードは 200 になります。
  8. 将来参照するために統合 ID を保存します。

これで、Dataminr RTAP の統合設定の追加が完了しました。 Dataminr RTAP からアラート データが送信されると、関数アプリがトリガーされ、Dataminr Pulse から "DataminrPulse_Alerts_CL" という LogAnalytics ワークスペース テーブルにアラート データを表示できるようになります。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。