Verbindung zu einer Microsoft Graph Security -Datenquelle herstellen

Online bearbeiten

Verbinden Sie die Microsoft Graph Security -Datenquelle mit der Plattform, damit Ihre Anwendungen und Dashboards Microsoft Graph Security -Sicherheitsdaten erfassen und analysieren können. Universal Data Insights -Connectors ermöglichen die föderierte Suche in Ihren Sicherheitsprodukten.

Vorbereitende Schritte

Arbeiten Sie mit einem Microsoft Graph Security -Administrator zusammen, um die erforderlichen Berechtigungen festzulegen, damit Ihr Benutzerkonto Alerts über den Connector empfangen kann. Weitere Informationen finden Sie unter Berechtigungen (https://learn.microsoft.com/en-us/graph/api/alert-list?view=graph-rest-1.0&tabs=http#permissions). Außerdem müssen Sie die folgenden Sicherheitsberechtigungsnachweise anfordern:
  • Tenant-ID
  • Kunden-ID
  • Geheimer Clientschlüssel
Konfigurieren Sie die Microsoft Graph -API.
  1. Informationen zum Registrieren der App in Azure Active Directoryfinden Sie unter Anwendung bei Microsoft Identity Platform registrieren (https://learn.microsoft.com/en-us/graph/auth-register-app-v2).

    Das Dashboard für die neue App wird angezeigt. Die Client-ID dieser Anwendung ist im Dashboard verfügbar.

  2. Klicken Sie auf API-Berechtigungen.
  3. Fügen Sie die Berechtigungen aus der folgenden Tabelle hinzu. Klicken Sie auf Berechtigung hinzufügen, um Berechtigungen hinzuzufügen.
    -API Berechtigungsname Typ
    Azure Service Management user_impersonation Delegiert
    Microsoft Graph Security.Events.Read.All Delegiert
    Microsoft Graph Security.Events.Read.All Anwendung
    Microsoft Graph User.Read Delegiert
  4. Wählen Sie die API Microsoft Graph aus.
  5. Klicken Sie auf die Kategorien Delegierte Berechtigungen und Anwendungsberechtigungen .
  6. Klicken Sie für das Benutzerkonto für die konfigurierten Berechtigungen auf Administratoreinwilligung gewähren.
  7. Klicken Sie auf Zertifikate & Geheimnisse.
  8. Klicken Sie auf Neuer geheimer Clientschlüssel, um einen geheimen Clientschlüssel für diese konfigurierte Anwendung hinzuzufügen.
  9. Geben Sie eine Beschreibung für den geheimen Clientschlüssel ein und wählen Sie einen Wert aus den Optionen Ablauf aus.

    Weitere Informationen zum App-Zugriff finden Sie unter Zugriff ohne Benutzer (https://learn.microsoft.com/en-us/graph/auth-v2-service?tabs=http).

Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie IBM® Security Edge Gateway als Host für die Container. Edge Gateway muss V1.6 oder höher sein. Weitere Informationen finden Sie unter Edge-Gateway einrichten.

Informationen zu dieser Task

Der Connector Microsoft Graph Security ist für die Arbeit mit dem Endpunkt v1.0/security/alerts für Sicherheitsalerts konzipiert.

Weitere Informationen zu Microsoft Graph Securityfinden Sie in Microsoft Defender for Cloud (https://azure.microsoft.com/en-us/products/defender-for-cloud/).

Structured Threat Information eXpression (STIX) ist ein Sprach-und Serialisierungsformat, das Unternehmen für den Austausch von Cyberbedrohungsdaten verwenden. Der Connector verwendet STIX -Muster zum Abfragen von Microsoft Graph Security -Daten und gibt Ergebnisse als STIX -Objekte zurück. Weitere Informationen zur Zuordnung des Microsoft Graph Security -Datenschemas zu STIXfinden Sie unter Microsoft Graph Security STIX -Zuordnung (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/azure_sentinel_supported_stix.md).

Vorgehensweise

  1. Rufen Sie Menü > Verbindungen > Datenquellenauf.
  2. Klicken Sie auf der Registerkarte Datenquellen auf Datenquelle verbinden.
  3. Klicken Sie auf Microsoft Graph Securityund anschließend auf Weiter.
  4. Konfigurieren Sie die Verbindung zur Datenquelle.
    1. Weisen Sie im Feld Datenquellenname einen Namen zu, der die Datenquellenverbindung eindeutig identifiziert.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher empfiehlt es sich, diesen Instanzen zur besseren Unterscheidung eindeutige Namen zu geben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    2. Geben Sie im Feld Datenquellenbeschreibung eine Beschreibung für den Zweck der Datenquellenverbindung ein.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher ist es nützlich, den Zweck jeder Verbindung mit einer eindeutigen Beschreibung anzugeben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
    3. Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie Edge Gateway als Host für die Container. Geben Sie im Feld Edge-Gateway (optional) an, welche Edge Gateway verwendet werden soll.
      Wählen Sie ein Edge Gateway als Host für den Connector aus. Es kann bis zu fünf Minuten dauern, bis der Status neu implementierter Datenquellenverbindungen auf dem Edge Gateway als verbunden angezeigt wird.
    4. Legen Sie im Feld Host-Port die Portnummer fest, die dem Datenquellenhost zugeordnet ist.
    5. Wählen Sie das Kontrollkästchen Älterer Alert aus, um Alerts der ersten Generation von der Microsoft Graph Security -API abzurufen.
    6. Wählen Sie das Kontrollkästchen Alert aus, um Alerts der neuesten Generation über die Microsoft Graph Security -API abzurufen.
    Wichtig: Sie müssen entweder das Kontrollkästchen Älterer Alert oder das Kontrollkästchen Alert auswählen, um die Microsoft Graph Security -Datenquelle abzufragen.
  5. Legen Sie die Abfrageparameter fest, um das Verhalten der Suchabfrage für die Datenquelle zu steuern.
    1. Legen Sie im Feld Grenzwert für gleichzeitige Suche fest, wie viele gleichzeitige Verbindungen zur Datenquelle hergestellt werden können. Der Standardgrenzwert für die Anzahl der Verbindungen ist 4. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    2. Legen Sie im Feld Zeitlimit für Abfragesuche das Zeitlimit in Minuten für die Ausführung der Abfrage in der Datenquelle fest. Standardzeitlimit ist 30. Wenn der Wert auf 0 gesetzt wird ist, gibst es kein Zeitlimit. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
    3. Legen Sie im Feld Grenzwert für Ergebnisgröße die maximale Anzahl der Einträge oder Objekte fest, die von der Suchabfrage zurückgegeben werden. Die Standardgröße der Ergebnisse ist auf 10.000 begrenzt. Der Wert darf nicht kleiner als 1 und nicht größer als 500.000 sein.
    4. Legen Sie im Feld Abfragezeitbereich den Zeitbereich in Minuten für die Suche fest, der als die letzten X Minuten dargestellt wird. Standard ist 5 Minuten. Der Wert darf weder kleiner als 1 noch größer als 10.000 sein.
    Wichtig: Wenn Sie den Grenzwert für die gleichzeitige Suche und den Grenzwert für die Ergebnisgröße erhöhen, kann eine größere Datenmenge an die Datenquelle gesendet werden, was die Belastung der Datenquelle erhöht. Eine Erhöhung des Abfragezeitbereichs erhöht auch das Datenvolumen.
  6. Optional: Wenn Sie die STIX-Attributzuordnung anpassen müssen, klicken Sie auf Attributzuordnung anpassen und bearbeiten Sie das JSON-BLOB, um den zugehörigen Zieldatenquellenfeldern neue oder vorhandene Eigenschaften zuzuordnen.
  7. Konfigurieren Sie Identität und Zugriff.
    1. Klicken Sie auf Konfiguration hinzufügen.
    2. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    3. Geben Sie im Feld Konfigurationsbeschreibung eine eindeutige Beschreibung ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
    4. Klicken Sie auf Zugriff bearbeiten und wählen Sie die Benutzer aus, die eine Verbindung zur Datenquelle herstellen können, sowie den Zugriffstyp.
    5. Geben Sie im Feld Tenant die Tenant-ID der Azure Active Directory -Anwendung mit Zugriff auf die API Microsoft Graph ein.
    6. Geben Sie im Feld Client-ID die Client-ID der Azure Active Directory -Anwendung mit Zugriff auf die API Microsoft Graph ein.
    7. Geben Sie im Feld Geheimer Clientschlüssel den geheimen Clientschlüssel der Azure Active Directory -Anwendung mit Zugriff auf die API Microsoft Graph ein.
    8. Klicken Sie auf Hinzufügen.
    9. Klicken Sie auf Fertig, um Ihre Konfiguration zu speichern und die Verbindung herzustellen.
    Sie können die Datenquellenverbindungskonfiguration anzeigen, die Sie unter "Verbindungen" auf der Seite mit den Einstellungen für die Datenquelle hinzugefügt haben. Eine Nachricht auf der Karte gibt die Verbindung zu der Datenquelle an.
    Wenn Sie eine Datenquelle hinzufügen, kann es einige Minuten dauern, bis die Datenquelle als verbunden angezeigt wird.
    Tipp: Nachdem Sie eine Datenquelle verbunden haben, kann es bis zu 30 Sekunden dauern, bis die Daten abgerufen werden. Bevor das vollständige Dataset zurückgegeben wird, wird die Datenquelle möglicherweise als nicht verfügbar angezeigt. Nachdem die Daten zurückgegeben wurden, wird die Datenquelle als verbunden angezeigt und ein Abfragemechanismus wird ausgeführt, um den Verbindungsstatus zu validieren. Der Verbindungsstatus ist nach jeder Abfrage 60 Sekunden lang gültig.

    Sie können für diese Datenquelle weitere Verbindungskonfigurationen mit anderen Benutzern und anderen Datenzugriffsberechtigungen hinzufügen.

  8. Gehen Sie wie folgt vor, um Ihre Konfigurationen zu bearbeiten:
    1. Wählen Sie auf der Registerkarte Datenquellen die Datenquellenverbindung aus, die Sie bearbeiten möchten.
    2. Klicken Sie im Abschnitt Konfigurationen auf Konfiguration bearbeiten (Symbol 'Konfiguration bearbeiten').
    3. Bearbeiten Sie die Identitäts-und Zugriffsparameter und klicken Sie auf Speichern.

Nächste Schritte

Testen Sie die Verbindung, indem Sie eine Abfrage mit IBM Security Data Explorer ausführen. Um Data Explorerverwenden zu können, müssen Sie über verbundene Datenquellen verfügen, damit die Anwendung Abfragen ausführen und Ergebnisse aus einer einheitlichen Gruppe von Datenquellen abrufen kann. Die Suchergebnisse variieren abhängig von den Daten, die in den konfigurierten Datenquellen enthalten sind. Weitere Informationen zum Erstellen einer Abfrage in Data Explorerfinden Sie unter Abfrage erstellen.