الذكاء الاصطناعي موصل Vectra Stream ل Microsoft Sentinel

  • مقالة

يسمح موصل الذكاء الاصطناعي Vectra Stream بإرسال بيانات تعريف الشبكة التي تم جمعها بواسطة مستشعرات Vectra عبر الشبكة والسحابة إلى Microsoft Sentinel

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics VectraStream_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Vectra الذكاء الاصطناعي

عينات الاستعلام

سرد كافة استعلامات DNS

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

عدد طلبات DNS لكل نوع

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by type_name

أفضل 10 استعلام إلى مجال غير موجود

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

مواقع المضيف والويب باستخدام تبادل مفتاح Diffie-Hellman غير المؤقت

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

المتطلبات الأساسية

للتكامل مع الذكاء الاصطناعي Vectra Stream تأكد من أن لديك:

  • Vectra الذكاء الاصطناعي Brain: يجب تكوينه لتصدير بيانات تعريف Stream في JSON

إرشادات تثبيت المورد

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع VectraStream الذي يتم نشره مع حل Microsoft Sentinel.

  1. تثبيت وإلحاق العامل لنظام Linux

تثبيت عامل Linux على مثيل sperate Linux.

يتم جمع السجلات فقط من وكلاء Linux .

  1. تكوين السجلات ليتم جمعها

اتبع خطوات التكوين أدناه للحصول على بيانات تعريف Vectra Stream في Microsoft Sentinel. يتم الاستفادة من عامل Log Analytics لإرسال JSON مخصص إلى Azure Monitor، ما يتيح تخزين بيانات التعريف في جدول مخصص. لمزيد من المعلومات، راجع وثائق Azure Monitor.

  1. قم بتنزيل ملف التكوين لعامل تحليلات السجل: VectraStream.conf (الموجود في مجلد الاتصال or داخل حل Vectra: https://aka.ms/sentinel-aivectrastream-conf).

  2. تسجيل الدخول إلى الخادم حيث قمت بتثبيت عامل Azure Log Analytics.

  3. انسخ VectraStream.conf إلى المجلد /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .

  4. تحرير VectraStream.conf كما يلي:

    1. تكوين منفذ بديل لإرسال البيانات إليه، إذا رغبت في ذلك. المنفذ الافتراضي هو 29009.

    ‫2. استبدل workspace_id بالقيمة الحقيقية لمعرف مساحة العمل.

  5. حفظ التغييرات وإعادة تشغيل عامل Azure Log Analytics لخدمة Linux باستخدام الأمر التالي: sudo /opt/microsoft/omsagent/bin/service_control إعادة التشغيل

  6. تكوين واتصال Vectra الذكاء الاصطناعي Stream

تكوين Vectra الذكاء الاصطناعي Brain لإعادة توجيه بيانات تعريف Stream بتنسيق JSON إلى مساحة عمل Microsoft Sentinel عبر عامل Log Analytics.

من واجهة مستخدم Vectra، انتقل إلى الإعدادات > Cognito Stream وقم بتحرير تكوين الوجهة:

  • حدد Publisher: RAW JSON

  • تعيين عنوان IP للخادم أو اسم المضيف (وهو المضيف الذي يقوم بتشغيل عامل Log Analytics)

  • تعيين كافة المنفذ إلى 29009 (يمكن تعديل هذا المنفذ إذا لزم الأمر)

  • حفظ

  • تعيين أنواع السجلات (تحديد كافة أنواع السجلات المتوفرة)

  • انقر فوق "Save"

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.