WithSecure Elements عبر موصل ل Microsoft Sentinel
يعد WithSecure Elements نظاما أساسيا موحدا للأمن السيبراني المستند إلى السحابة. من خلال توصيل WithSecure Elements عبر الاتصال or ب Microsoft Sentinel، يمكن تلقي أحداث الأمان بتنسيق الحدث الشائع (CEF) عبر سجل النظام. يتطلب نشر "Elements الاتصال or" إما على prem أو في السحابة. يوفر تنسيق الحدث العام (CEF) البحث والارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل بيانات.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | CommonSecurityLog (أحداث WithSecure) |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | WithSecure |
عينات الاستعلام
كافة السجلات
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
إرشادات تثبيت المورد
- تكوين عامل Linux Syslog
قم بتثبيت وتكوين عامل Linux لجمع رسائل Syslog بتنسيق الحدث العام (CEF) وإعادة توجيهها إلى Microsoft Sentinel.
لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة
1.1 تحديد أو إنشاء جهاز Linux
حدد أو أنشئ جهاز Linux الذي سيستخدمه Microsoft Sentinel كوكيل بين حل WithSecurity و Sentinel. يمكن أن يكون الجهاز بيئة مسبقة أو Microsoft Azure أو سحابة أخرى تستند إلى.
يجب أن يكون Linux
syslog-ngمثبتا ومثبتا/pythonpython3.
1.2 تثبيت مجمع CEF على جهاز Linux
قم بتثبيت عامل مراقبة Microsoft على جهاز Linux الخاص بك وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.
- يجب أن يكون لديك أذونات عالية المستوى (sudo) على جهازك.
قم بتشغيل الأمر التالي لتثبيت جامع CEF وتطبيقه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
بالنسبة للأمر python3، استخدم أدناه:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- إعادة توجيه البيانات من WithSecure Elements الاتصال or إلى عامل Syslog
يصف هذا كيفية تثبيت العناصر وتكوينها الاتصال أو خطوة بخطوة.
2.1 طلب اشتراك الاتصال أو
إذا لم يتم طلب اشتراك الاتصال أو، فانتقل بعد إلى EPP في مدخل العناصر. ثم انتقل إلى التنزيلات وفي قسم العناصر الاتصال أو انقر فوق الزر "إنشاء مفتاح الاشتراك". يمكنك التحقق من مفتاح اشتراكك في الاشتراكات.
2.2 تنزيل الاتصال أو
انتقل إلى التنزيلات وفي قسم WithSecure Elements الاتصال or حدد المثبت الصحيح.
2.3 إنشاء مفتاح API للإدارة
عند فتح إعدادات الحساب في EPP في الزاوية العلوية اليسرى. ثم حدد Get management API key. إذا تم إنشاء المفتاح في وقت سابق، فيمكن قراءته هناك أيضا.
2.4 تثبيت الاتصال أو
لتثبيت العناصر الاتصال أو اتبع العناصر الاتصال أو مستندات.
2.5 تكوين إعادة توجيه الحدث
إذا لم يتم تكوين الوصول إلى واجهة برمجة التطبيقات أثناء التثبيت، فاتبع تكوين الوصول إلى واجهة برمجة التطبيقات للعناصر الاتصال أو. ثم انتقل إلى EPP، ثم ملفات التعريف، ثم استخدم For الاتصال or من حيث يمكنك رؤية ملفات تعريف الموصل. إنشاء ملف تعريف جديد (أو تحرير ملف تعريف موجود ليس للقراءة فقط). في إعادة توجيه الحدث، قم بتمكينه. عنوان نظام SIEM: 127.0.0.1:514. تعيين التنسيق إلى Common Event Format. البروتوكول هو TCP. احفظ ملف التعريف وقم بتعيينه إلى العناصر الاتصال أو في علامة التبويب الأجهزة.
- التحقق من صحة الاتصال
اتبع الإرشادات للتحقق من صحة الاتصال:
افتح Log Analytics للتحقق مما إذا كان يتم تلقي السجلات باستخدام مخطط CommonSecurityLog.
قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.
إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:
- تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version
- يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك
قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
بالنسبة للأمر python3، استخدم أدناه:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- تأمين جهازك
تأكد من تكوين أمان الجهاز وفقا لنهج أمان مؤسستك
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.