[مهمل] Illumio Core عبر موصل Legacy Agent ل Microsoft Sentinel
يوفر موصل بيانات Illumio Core القدرة على استيعاب سجلات Illumio Core في Microsoft Sentinel.
سمات الاتصال أو
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | CommonSecurityLog (IllumioCore) |
دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
مدعومة من قبل | Microsoft |
عينات الاستعلام
أفضل 10 أنواع أحداث
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
إرشادات تثبيت المورد
ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار IllumioCoreEvent وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل وتعيين أحداث Illumio Core إلى نموذج معلومات Microsoft Sentinel (ASIM).
- تكوين عامل Linux Syslog
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
1.1 تحديد أو إنشاء جهاز Linux
حدد أو أنشئ جهاز Linux الذي سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك وMicrosoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المحلية أو Azure أو السحب الأخرى.
1.2 تثبيت مجمع CEF على جهاز Linux
قم بتثبيت عامل مراقبة Microsoft على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.
- يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك.
قم بتشغيل الأمر التالي لتثبيت جامع CEF وتطبيقه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- تكوين Ilumio Core لإرسال السجلات باستخدام CEF
2.1 تكوين تنسيق الحدث
من قائمة وحدة تحكم ويب PCE، اختر الإعدادات > Event الإعدادات لعرض الإعدادات الحالية.
انقر فوق تحرير لتغيير الإعدادات.
تعيين تنسيق الحدث إلى CEF.
(اختياري) تكوين خطورة الحدث وفترة الاستبقاء.
2.2 تكوين إعادة توجيه الحدث إلى خادم syslog خارجي
من قائمة وحدة تحكم الويب PCE، اختر الإعدادات > Event الإعدادات.
انقر فوق إضافة.
انقر فوق إضافة مستودع.
أكمل مربع الحوار Add Repository.
انقر فوق موافق لحفظ تكوين إعادة توجيه الحدث.
التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
- يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك
قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.