تنشيط موصل الأمان ل Microsoft Sentinel
يسمح موصل اليقظة للأمان CEF للمستخدمين بإرسال تطابقات نموذج الكشف من النظام الأساسي للأمان اليقظ إلى Microsoft Sentinel. معالجة التهديدات بسرعة باستخدام قوة الكشف عن الشبكة والاستجابة لها وتسريع التحقيقات برؤية عميقة خاصة في الكيانات غير المدارة بما في ذلك المستخدمين والأجهزة والتطبيقات على شبكتك. يتيح الموصل أيضا إنشاء تنبيهات مخصصة تركز على أمان الشبكة والحوادث والمصنفات ودفاتر الملاحظات التي تتوافق مع مهام سير عمل عمليات الأمان الحالية.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | CommonSecurityLog (اليقظة) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | Arista - الأمان اليقظ |
عينات الاستعلام
أعلى 5 تطابقات للنموذج المتطفل حسب الخطورة
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
أفضل 5 أجهزة حسب درجة مخاطر الجهاز
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
إرشادات تثبيت المورد
- تكوين عامل Linux Syslog
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
1.1 تحديد أو إنشاء جهاز Linux
حدد أو أنشئ جهاز Linux الذي سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك وMicrosoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المحلية أو Azure أو السحب الأخرى.
1.2 تثبيت مجمع CEF على جهاز Linux
قم بتثبيت عامل مراقبة Microsoft على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.
- يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك.
قم بتشغيل الأمر التالي لتثبيت جامع CEF وتطبيقه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- إعادة توجيه نموذج متطفل مستيقظ يطابق النتائج مع جامع CEF.
نفذ الخطوات التالية لإعادة توجيه مطابقة نموذج الخصومة اليقظة لنتائج جامع CEF الذي يستمع إلى منفذ TCP 514 في IP 192.168.0.1:
- انتقل إلى صفحة مهارات إدارة الكشف في واجهة المستخدم اليقظة.
- انقر فوق + إضافة مهارة جديدة.
- تعيين حقل Expression إلى،
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- تعيين حقل العنوان إلى اسم وصفي مثل،
نتيجة مطابقة نموذج الخصومة لليقظة الأمامية مع Microsoft Sentinel.
- تعيين معرف المرجع إلى شيء يمكن اكتشافه بسهولة مثل،
integrations.cef.sentinel-forwarder
- انقر فوق حفظ.
ملاحظة: في غضون بضع دقائق من حفظ التعريف والحقول الأخرى، سيبدأ النظام في إرسال نتائج مطابقة نموذج جديد إلى مجمع أحداث CEF عند اكتشافها.
لمزيد من المعلومات، راجع صفحة إضافة معلومات الأمان وتكامل دفع إدارة الأحداث من وثائق التعليمات في واجهة المستخدم اليقظة.
- التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
- يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك
قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ