Поделиться через

Соединитель Derdack SIGNL4 для Microsoft Sentinel

  • Статья

Когда критически важные системы завершаются сбоем или инцидентами безопасности, SIGNL4 перестраивает "последнюю милю" сотрудникам, инженерам, ИТ-администраторам и работникам в этой области. Он добавляет в службы, системы и процессы в режиме реального времени в режиме реального времени. SIGNL4 уведомляет о постоянной мобильной отправке, SMS-тексте и голосовых звонках с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смены гарантирует, что правильные люди оповещены в нужное время.

Подробнее>

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics SIGNL4_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Derdack

Примеры запросов

Получение сведений об оповещении и состоянии SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Инструкции по установке поставщика

Примечание.

Этот соединитель данных в основном настраивается на стороне SIGNL4. Здесь можно найти видео описание: интеграция SIGNL4 с Microsoft Sentinel.

Соединитель SIGNL4: соединитель SIGNL4 для Microsoft Sentinel, Центр безопасности Azure и других поставщиков azure Graph API безопасности обеспечивает 2-путь интеграции с решениями безопасности Azure. После добавления в команду SIGNL4 соединитель будет считывать оповещения системы безопасности из API безопасности Azure Graph, а также автоматически запускать уведомления об оповещениях для участников группы по обязанности. Он также синхронизирует состояние оповещения с SIGNL4 с Graph API безопасности, чтобы, если оповещения были подтверждены или закрыты, это состояние также обновляется в соответствии с оповещением Azure Graph API безопасности или соответствующим поставщиком безопасности. Как уже упоминалось, соединитель в основном использует API безопасности Azure Graph, но для некоторых поставщиков безопасности, таких как Microsoft Sentinel, он также использует выделенные ИНТЕРФЕЙСы REST API из решений Azure.

Функции Microsoft Sentinel

Microsoft Sentinel — это облачное решение SIEM от Майкрософт и поставщик оповещений системы безопасности в Azure Graph API безопасности. Однако уровень сведений об оповещении, доступных в API безопасности Graph, ограничен для Microsoft Sentinel. Поэтому соединитель может расширять оповещения с дополнительными сведениями (результаты поиска правил аналитики) из базовой рабочей области Microsoft Sentinel Log Analytics. Чтобы сделать это, соединитель взаимодействует с REST API Azure Log Analytics и нуждается в разрешениях (см. ниже). Кроме того, приложение также может обновить состояние инцидентов Microsoft Sentinel, если все связанные оповещения системы безопасности выполняются или разрешаются. Чтобы сделать это, соединитель должен быть членом группы "Участники Microsoft Sentinel" в подписке Azure. Автоматическое развертывание в Azure Учетные данные, необходимые для доступа к приведенным выше API, создаются небольшим скриптом PowerShell, который можно скачать ниже. Скрипт выполняет следующие задачи:

  • Войдите в подписку Azure (войдите с учетной записью администратора)
  • Создает новое корпоративное приложение для этого соединителя в идентификаторе Microsoft Entra ID, которое также называется субъектом-службой.
  • Создает новую роль в IAM Azure, которая предоставляет разрешение на чтение и запрос только рабочим областям Azure Log Analytics.
  • Присоединяет корпоративное приложение к этой роли пользователя
  • Присоединяет корпоративное приложение к роли "Участникы Microsoft Sentinel"
  • Выводит некоторые данные, необходимые для настройки приложения (см. ниже).

Процедура развертывания

  1. Скачайте скрипт развертывания PowerShell.
  2. Просмотрите скрипт и роли и области разрешений, которые он развертывает для регистрации нового приложения. Если вы не хотите использовать соединитель с Microsoft Sentinel, вы можете удалить весь код создания ролей и назначения ролей и использовать его только для создания регистрации приложения (SPN) в идентификаторе Microsoft Entra.
  3. Выполните скрипт. В конце он выводит сведения, которые необходимо ввести в конфигурации приложения соединителя.
  4. В идентификаторе Microsoft Entra щелкните "Регистрация приложений". Найдите приложение с именем SIGNL4AzureSecurity и откройте его сведения.
  5. В колонке меню слева щелкните "Разрешения API". Затем нажмите кнопку "Добавить разрешение".
  6. В колонке, которая загружается, в разделе "API Майкрософт" щелкните плитку Microsoft Graph, а затем щелкните "Разрешение приложения".
  7. В таблице, которая отображается, разверните "SecurityEvents" и проверьте "SecurityEvents.Read.All" и "SecurityEvents.ReadWrite.All".
  8. Нажмите кнопку "Добавить разрешения".

Настройка приложения соединителя SIGNL4

Наконец, введите идентификаторы, выходные данные скрипта в конфигурации соединителя:

  • Azure Tenant ID
  • Идентификатор подписки Azure
  • Идентификатор клиента (корпоративного приложения)
  • Секрет клиента (корпоративного приложения) После включения приложения он начнет чтение оповещений Azure Graph API безопасности.

ПРИМЕЧАНИЕ. Изначально оно будет читать только оповещения, которые произошли за последние 24 часа.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.