Connexion à une source de données Microsoft Graph Security

Editer en ligne

Connectez la source de données Microsoft Graph Security à la plateforme pour permettre à vos applications et à vos tableaux de bord de collecter et d'analyser les données de sécurité Microsoft Graph Security . Les connecteurs Universal Data Insights permettent la recherche fédérée dans vos produits de sécurité.

Avant de commencer

Collaborez avec un administrateur Microsoft Graph Security pour définir les droits nécessaires pour que votre compte utilisateur reçoive des alertes via le connecteur. Pour plus d'informations, voir Droits d'accès (https://learn.microsoft.com/en-us/graph/api/alert-list?view=graph-rest-1.0&tabs=http#permissions). Vous avez également besoin des données d'identification de sécurité suivantes :
  • ID de titulaire
  • ID de client
  • Secret du client
Configurez l'API Microsoft Graph .
  1. Pour enregistrer l'application dans Azure Active Directory, voir Register an application with Microsoft identity platform (https://learn.microsoft.com/en-us/graph/auth-register-app-v2).

    Le tableau de bord de la nouvelle application s'affiche ; l'ID client de cette application est disponible dans le tableau de bord.

  2. Cliquez sur Droits d'accès aux API.
  3. Ajoutez les droits dans le tableau suivant. Pour ajouter des droits, cliquez sur Ajouter une autorisation.
    interface de programme d"application Nom des droits Type
    Azure Service Management user_impersonation Délégué
    Microsoft Graph Security.Events.Read.All Délégué
    Microsoft Graph Security.Events.Read.All Application
    Microsoft Graph User.Read Délégué
  4. Choisissez l'API Microsoft Graph.
  5. Cliquez sur les catégories Autorisations déléguées et Autorisations d'application.
  6. Cliquez sur Accorder le consentement administratif pour le compte utilisateur pour les droits configurés.
  7. Cliquez sur Certificats & secrets.
  8. Pour générer le secret du client pour cette application configurée, cliquez sur Nouveau secret client.
  9. Entrez une description et choisissez une valeur parmi les options Expire pour le secret du client.

    Pour plus d'informations sur l'accès aux applications, voir Accès sans utilisateur (https://learn.microsoft.com/en-us/graph/auth-v2-service?tabs=http).

Si vous disposez d'un pare-feu entre votre cluster et la cible de la source de données, utilisez le IBM® Security Edge Gateway pour héberger les conteneurs. Le Edge Gateway doit être V1.6 ou ultérieure. Pour plus d'informations, voir Configuration de la passerelle Edge.

A propos de cette tâche

Le connecteur Microsoft Graph Security est conçu pour fonctionner avec le noeud final v1.0/security/alerts des alertes de sécurité.

Pour plus d'informations sur Microsoft Graph Security, voir Microsoft Defender for Cloud (https://azure.microsoft.com/en-us/products/defender-for-cloud/).

STIX (Structured Threat Information eXpression ) est un format de langage et de sérialisation utilisé par les organisations pour échanger des renseignements sur les cybermenaces. Le connecteur utilise le STIX pattern pour interroger les données Microsoft Graph Security et renvoie les résultats sous forme d'objets STIX . Pour plus d'informations sur la façon dont le schéma de données Microsoft Graph Security est mappé à STIX, voir Microsoft Graph Security STIX Mappage (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/azure_sentinel_supported_stix.md).

Procédure

  1. Accédez à Menu > Connexions > Sources de données.
  2. Dans l'onglet Sources de données , cliquez sur Connecter une source de données.
  3. Cliquez sur Microsoft Graph Security, puis sur Next.
  4. Configurez la connexion à la source de données.
    1. Dans la zone Nom de la source de données , attribuez un nom pour identifier de manière unique la connexion à la source de données.
      Comme vous pouvez créer plusieurs instances de connexion à une source de données, il peut être utile de pouvoir clairement les distinguer par leur nom. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
    2. Dans la zone Description de la source de données , écrivez une description pour indiquer l'objectif de la connexion de source de données.
      Vous pouvez créer plusieurs instances de connexion à une source de données. Il est donc judicieux d'indiquer clairement l'objectif de chaque connexion par une description. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
    3. Si vous disposez d'un pare-feu entre votre cluster et la cible de la source de données, utilisez le Edge Gateway pour héberger les conteneurs. Dans la zone Passerelle Edge (facultative) , indiquez le Edge Gateway à utiliser.
      Sélectionnez un Edge Gateway pour héberger le connecteur. Le statut des connexions de source de données nouvellement déployées sur le Edge Gateway peut prendre jusqu'à cinq minutes pour s'afficher comme étant connectées.
    4. Dans la zone Port de l'hôte , définissez le numéro de port associé à l'hôte de la source de données.
    5. Pour extraire des alertes de première génération de l'API Microsoft Graph Security , cochez la case Alerte existante .
    6. Pour extraire les alertes de dernière génération de l'API Microsoft Graph Security , cochez la case Alerte .
    Important: Vous devez cocher la case Alerte existante ou la case Alerte pour interroger la source de données Microsoft Graph Security .
  5. Définissez les paramètres de requête pour contrôler le comportement de la requête de recherche sur la source de données.
    1. Dans la zone Limite de recherche simultanée , définissez le nombre de connexions simultanées pouvant être établies avec la source de données. La limite par défaut du nombre de connexions est 4. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 100.
    2. Dans la zone Limite du délai d'attente de la recherche de requête , définissez la limite de temps en minutes pour la durée d'exécution de la requête sur la source de données. La limite de temps par défaut est de 30. Lorsque la valeur est zéro, il n'existe aucun délai d'attente. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 120.
    3. Dans la zone Limite de taille des résultats , définissez le nombre maximal d'entrées ou d'objets renvoyés par la requête de recherche. La limite par défaut est de 10 000 résultats. La valeur ne doit pas être inférieure à 1 ni supérieure à 500 000.
    4. Dans la zone Plage horaire de la requête , définissez la plage horaire en minutes pour la recherche, représentée par les X dernières minutes. La valeur par défaut est de 5 minutes. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 10 000.
    Important: Si vous augmentez la limite de recherche simultanée et la limite de taille des résultats, une plus grande quantité de données peut être envoyée à la source de données, ce qui augmente la charge sur la source de données. L'augmentation de l'intervalle de temps de la requête augmente également la quantité de données.
  6. Facultatif: Si vous devez personnaliser le mappage d'attributs STIX, cliquez sur Personnaliser le mappage d'attributs et éditez l'objet BLOB JSON pour mapper des propriétés nouvelles ou existantes à leurs zones de source de données cible associées.
  7. Configurez l'identité et l'accès.
    1. Cliquez sur Ajouter une configuration.
    2. Dans la zone Nom de la configuration , entrez un nom unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
    3. Dans la zone Description de la configuration , entrez une description unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
    4. Cliquez sur Editer l'accès et choisissez les utilisateurs qui peuvent se connecter à la source de données et le type d'accès.
    5. Dans la zone Titulaire , entrez l'ID titulaire de Azure Active Directory Application avec accès à l'API Microsoft Graph .
    6. Dans la zone ID client , entrez l'ID client de Azure Active Directory Application avec accès à l'API Microsoft Graph .
    7. Dans la zone Valeur confidentielle du client , entrez la valeur confidentielle du client de Azure Active Directory Application avec accès à l'API Microsoft Graph .
    8. Cliquez sur Ajouter.
    9. Pour sauvegarder votre configuration et établir la connexion, cliquez sur Terminé.
    Vous pouvez voir la configuration de la connexion de la source de données que vous avez ajoutée sous Connexions sur la page Paramètres de la source de données. Un message sur la carte indique la connexion à la source de données.
    Lorsque vous ajoutez une source de données, cela peut prendre quelques minutes avant que la source de données ne s'affiche comme étant connectée.
    Astuce: Une fois que vous avez connecté une source de données, l'extraction des données peut prendre jusqu'à 30 secondes. Avant que le jeu de données complet ne soit renvoyé, la source de données peut s'afficher comme non disponible. Une fois les données renvoyées, la source de données s'affiche comme étant connectée et un mécanisme d'interrogation est mis en place pour valider le statut de la connexion. Le statut de connexion est valide pendant 60 secondes après chaque interrogation.

    Vous pouvez ajouter d'autres configurations de connexion pour cette source de données avec utilisateurs et des droits d'accès aux données différents.

  8. Pour éditer vos configurations, procédez comme suit:
    1. Dans l'onglet Sources de données , sélectionnez la connexion de source de données à éditer.
    2. Dans la section Configurations , cliquez sur Editer la configuration (Icône Editer la configuration).
    3. Editez les paramètres d'identité et d'accès et cliquez sur Sauvegarder.

Etape suivante

Testez la connexion en exécutant une requête avec IBM Security Data Explorer. Pour utiliser Data Explorer, vous devez avoir des sources de données connectées afin que l'application puisse exécuter des requêtes et extraire des résultats dans un ensemble unifié de sources de données. Les résultats de la recherche varient en fonction des données stockées dans les sources de données configurées. Pour plus d'informations sur la génération d'une requête dans Data Explorer, voir Génération d'une requête.