Conectando a uma origem de dados do Microsoft Graph Security

Editar on-line

Conecte a origem de dados Microsoft Graph Security à plataforma para permitir que seus aplicativos e painéis coletem e analisem dados de segurança do Microsoft Graph Security . Os conectores Universal Data Insights permitem a procura federada em seus produtos de segurança.

Antes de começar

Colabore com um administrador do Microsoft Graph Security para configurar as permissões necessárias para a sua conta do usuário para receber alertas por meio do conector Para obter mais informações, consulte Permissões (https://learn.microsoft.com/en-us/graph/api/alert-list?view=graph-rest-1.0&tabs=http#permissions. Também é necessário obter as credenciais de segurança a seguir:
  • ID do locatário
  • ID do cliente
  • Segredo do cliente
Configure a API do Microsoft Graph
  1. Para registrar o app no Azure Active Directory, consulte Registrar um aplicativo na plataforma de identidade Microsoft (https://learn.microsoft.com/en-us/graph/auth-register-app-v2).

    O novo painel do aplicativo é exibido, o ID do Cliente desse aplicativo está disponível no painel.

  2. Clique em Permissões de API.
  3. Inclua as permissões na tabela a seguir. Para adicionar permissões, clique em Adicionar uma permissão.
    API do Nome das permissões Tipo
    Azure Service Management user_impersonation Delegado
    Microsoft Graph Security.Events.Read.All Delegado
    Microsoft Graph Security.Events.Read.All Aplicativo
    Microsoft Graph User.Read Delegado
  4. Escolha a API do Microsoft Graph.
  5. Clique em permissões Delegadas e permissões de aplicativos categorias.
  6. Clique em Conceder consentimento do administrador para a conta do usuário para as permissões configuradas.
  7. Clique em Certificados & segredos.
  8. Para gerar o segredo do cliente para esse aplicativo configurado, clique em Novo segredo do cliente.
  9. Insira uma descrição e escolha um valor entre as opções Expira para o segredo do cliente.

    Para obter mais informações sobre acesso ao app, consulte Obter acesso sem um usuário (https://learn.microsoft.com/en-us/graph/auth-v2-service?tabs=http).

Se você tiver um firewall entre o seu cluster e o destino de origem de dados, use o IBM® Security Edge Gateway para hospedar os contêineres O Edge Gateway deve ser V1.6 ou posterior. Para obter mais informações, consulte Configurando o Gateway de Borda

Sobre esta tarefa

O conector Microsoft Graph Security foi projetado para trabalhar com o terminal v1.0/security/alerts de Alertas de segurança

Para obter informações adicionais sobre Microsoft Graph Security, consulte Microsoft Defender for Cloud (https://azure.microsoft.com/en-us/products/defender-for-cloud/).

Structured Threat Information eXpression (STIX) é um formato de linguagem e serialização que as organizações usam para trocar inteligência de ameaça cibernética. O conector usa o padrão STIX para consultar dados Microsoft Graph Security e retorna resultados como objetos STIX . Para obter mais informações sobre como o esquema de dados Microsoft Graph Security é mapeado para STIX, consulte Microsoft Graph Security STIX Mapeamento (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/azure_sentinel_supported_stix.md).

Procedimento

  1. Vá para Menu > Conexões > Origens de Dados.
  2. Na guia Origens de dados , clique em Conectar uma origem de dados
  3. clique em Microsoft Graph Security, em seguida, clique em Avançar.
  4. Configure a conexão com a origem de dados
    1. No campo Nome da origem de dados: , designe um nome para identificar exclusivamente a conexão de origem de dados.
      É possível criar várias instâncias de conexão para uma origem de dados para configurá-las claramente por nome. Somente caracteres alfanuméricos e os caracteres especiais a seguir são permitidos: - . _
    2. No campo Descrição da Origem de Dados escreva uma descrição para indicar o propósito da conexão de origem de dados.
      É possível criar várias instâncias de conexão para uma origem de dados, portanto, é útil indicar claramente o propósito de cada conexão por descrição. Somente caracteres alfanuméricos e os caracteres especiais a seguir são permitidos: - . _
    3. Se você tiver um firewall entre o seu cluster e o destino de origem de dados, use o Edge Gateway para hospedar os contêineres No campo Gateway de borda (opcional) , especifique qual Edge Gateway usar.
      Selecione um Edge Gateway para hospedar o conector Pode demorar até cinco minutos para que o status das conexões de origem de dados recém-implementadas no Edge Gateway seja mostrado como sendo conectado
    4. No campo Porta do host , configure o número de porta associado ao host de origem de dados.
    5. Para recuperar alertas de primeira geração da Microsoft Graph Security API, marque a caixa de seleção Alerta anterior .
    6. Para recuperar alertas de geração mais recente da API do Microsoft Graph Security , marque a caixa de seleção Alerta .
    Importante: deve-se marcar a caixa de seleção Alerta anterior ou a caixa de seleção Alerta para consultar a origem de dados Microsoft Graph Security .
  5. Configure os parâmetros de consulta para controlar o comportamento da consulta de procura na origem de dados.
    1. No campo Limite de procura simultânea , configure o número de conexões simultâneas que podem ser feitas para a origem de dados.. O limite padrão para o número de conexões é 4. O valor não deve ser inferior a 1 e maior do que 100.
    2. No campo Limite de tempo limite de procura de consulta , configure o limite de tempo em minutos por quanto tempo a consulta é executada na origem de dados O limite de tempo padrão é 30. Quando o valor é configurado como zero, não há tempo limite. O valor não deve ser menor que um e nem maior que 120.
    3. No campo Limite de Tamanho do Resultado , configure o número máximo de entradas ou objetos que são retornadas pela consulta de procura O limite de tamanho do resultado padrão é 10.000. O valor não deve ser menor que 1 e não deve ser maior que 500.000.
    4. No campo Intervalo de tempo de consulta , configure o intervalo de tempo em minutos para a procura representado como os últimos X minutos. O padrão é 5 minutos. O valor não deve ser menor que 1 e não deve ser maior que 10.000.
    Importante: Se você aumentar o limite de procura simultânea e o limite de tamanho do resultado, uma quantia maior de dados poderá ser enviada para a origem de dados, o que aumenta a tensão na origem de dados. Aumentar o intervalo de tempo de consulta também aumenta a quantidade de dados.
  6. Opcional: Se for necessário customizar o mapeamento de atributos STIX, clique em Customizar mapeamento de atributos e edite o blob JSON para mapear propriedades novas ou existentes para seus campos de origem de dados de destino associados.
  7. Configure a identidade e o acesso.
    1. Clique em Incluir uma Configuração.
    2. No campo Nome da Configuração , insira um nome exclusivo para descrever a configuração de acesso e distingui-la das outras configurações de acesso para essa conexão de origem de dados que você pode configurar Apenas caracteres alfanuméricos e os seguintes caracteres especiais são permitidos: - . _
    3. No campo Descrição da configuração , insira uma descrição exclusiva para descrever a configuração de acesso e distingui-la das outras configurações de acesso para essa conexão de origem de dados que você pode configurar Apenas caracteres alfanuméricos e os seguintes caracteres especiais são permitidos: - . _
    4. Clique em Editar acesso e escolha quais usuários podem se conectar à origem de dados e o tipo de acesso
    5. No campo Locatário , insira o ID do Locatário do Azure Active Directory Aplicativo com acesso à API Microsoft Graph .
    6. No campo ID do cliente , insira o ID do cliente do aplicativo Azure Active Directory com acesso à API Microsoft Graph .
    7. No campo Segredo do cliente , insira o Segredo do cliente do aplicativo Azure Active Directory com acesso à API Microsoft Graph .
    8. Clique em Incluir.
    9. Para salvar sua configuração e estabelecer a conexão, Clique em Pronto.
    É possível ver a configuração de conexão de origem de dados que foi incluída em Conexões na página de configurações da origem de dados. Uma mensagem no cartão indica a conexão com a origem de dados.
    Quando você inclui uma origem de dados, pode levar alguns minutos antes que a origem de dados seja mostrada como sendo conectada
    Dica: após a conexão de uma origem de dados, pode levar até 30 segundos para recuperar os dados Antes que o conjunto de dados completo seja retornado, a origem de dados pode ser exibida como indisponível Após os dados serem retornados, a origem de dados é mostrada como conectada e ocorre um mecanismo de pesquisa para validar o status da conexão. O status da conexão é válido por 60 segundos após cada pesquisa.

    É possível incluir outras configurações de conexão para essa origem de dados com diferentes usuários e diferentes permissões de acesso a dados.

  8. Para editar suas configurações, conclua as etapas a seguir:
    1. Na guia Origens de dados , selecione a conexão de origem de dados que deseja editar..
    2. Na seção Configurações , clique em Editar Configuração (Editar ícone de configuração).
    3. Edite os parâmetros de identidade e acesso e clique em Salvar.

O que fazer a seguir

Teste a conexão executando uma consulta com IBM Security Data Explorer. Para usar o Data Explorer, deve-se ter origens de dados conectadas para que o aplicativo possa executar consultas e recuperar resultados em um conjunto unificado de origens de dados. Os resultados da procura variam de acordo com os dados que estão contidos em suas origens de dados configuradas. Para obter mais informações sobre como construir uma consulta no Data Explorer, consulte Construir uma consulta.