موصل المصدر الاتصال أو Corelight ل Microsoft Sentinel
يمكن موصل بيانات Corelight المستجيبين للحوادث ومتتبعي التهديدات الذين يستخدمون Microsoft Sentinel من العمل بشكل أسرع وأكثر فعالية. يتيح موصل البيانات استيعاب الأحداث من Zeek و Suricata عبر مستشعرات Corelight في Microsoft Sentinel.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | corelight_bacnet corelight_capture_loss corelight_cip corelight_conn_long corelight_conn_red corelight_conn corelight_corelight_burst corelight_corelight_overall_capture_loss corelight_corelight_profiling corelight_datared corelight_dce_rpc corelight_dga corelight_dhcp corelight_dnp3 corelight_dns_red corelight_dns corelight_dpd corelight_encrypted_dns corelight_enip_debug corelight_enip_list_identity corelight_enip corelight_etc_viz corelight_files_red corelight_files corelight_ftp corelight_generic_dns_tunnels corelight_generic_icmp_tunnels corelight_http2 corelight_http_red corelight_http corelight_icmp_specific_tunnels corelight_intel corelight_ipsec corelight_irc corelight_iso_cotp corelight_kerberos corelight_known_certs corelight_known_devices corelight_known_domains corelight_known_hosts corelight_known_names corelight_known_remotes corelight_known_services corelight_known_users corelight_local_subnets_dj corelight_local_subnets_graphs corelight_local_subnets corelight_log4shell corelight_modbus corelight_mqtt_connect corelight_mqtt_publish corelight_mqtt_subscribe corelight_mysql corelight_notice corelight_ntlm corelight_ntp corelight_ocsp corelight_openflow corelight_packet_filter corelight_pe corelight_profinet_dce_rpc corelight_profinet_debug corelight_profinet corelight_radius corelight_rdp corelight_reporter corelight_rfb corelight_s7comm corelight_signatures corelight_sip corelight_smartpcap_stats corelight_smartpcap corelight_smb_files corelight_smb_mapping corelight_smtp_links corelight_smtp corelight_snmp corelight_socks corelight_software corelight_specific_dns_tunnels corelight_ssh corelight_ssl_red corelight_ssl corelight_stats corelight_stepping corelight_stun_nat corelight_stun corelight_suricata_corelight corelight_suricata_eve corelight_suricata_stats corelight_suricata_zeek_stats corelight_syslog corelight_tds_rpc corelight_tds_sql_batch corelight_tds corelight_traceroute corelight_tunnel Corelight corelight_unknown_smartpcap corelight_util_stats corelight_vpn corelight_weird_red corelight_weird_stats corelight_weird corelight_wireguard corelight_x509_red corelight_x509 corelight_zeek_doctor |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | الضوء الأساسي |
عينات الاستعلام
أفضل 10 عملاء (عنوان IP المصدر)
Corelight
| summarize count() by id_orig_h
| top 10 by count_
إرشادات تثبيت المورد
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع Corelight الذي يتم نشره مع حل Microsoft Sentinel.
- الحصول على الملفات
اتصل ب TAM أو SE أو info@corelight.com للحصول على الملفات المطلوبة لتكامل Microsoft Sentinel.
- إعادة عرض بيانات العينة.
أعد تشغيل نموذج البيانات لإنشاء الجداول المطلوبة في مساحة عمل Log Analytics.
إرسال نموذج البيانات (مطلوب مرة واحدة فقط لكل مساحة عمل Log Analytics)
./send_samples.py --workspace-id {0} --workspace-key {1}
- تثبيت مصدر مخصص.
تثبيت المصدر المخصص أو حاوية logstash.
- تكوين أداة استشعار Corelight لإرسال سجلات إلى عامل Azure Log Analytics.
باستخدام القيم التالية، قم بتكوين أداة استشعار Corelight لاستخدام مصدر Microsoft Sentinel. بدلا من ذلك، يمكنك تكوين حاوية logstash بهذه القيم وتكوين المستشعر لإرسال JSON عبر TCP إلى تلك الحاوية على المنفذ المناسب.
مفتاح مساحة العمل الأساسي
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ