Konektor Probuzené zabezpečení pro Microsoft Sentinel
Konektor Probuzené zabezpečení CEF umožňuje uživatelům odesílat shody modelu detekce z platformy Probuzené zabezpečení do Microsoft Sentinelu. Rychle opravujte hrozby pomocí možnosti detekce sítě a reakce a urychlíte šetření s hlubokým přehledem zejména o nespravovaných entitách, včetně uživatelů, zařízení a aplikací ve vaší síti. Konektor také umožňuje vytvářet vlastní výstrahy, incidenty, sešity a poznámkové bloky zaměřené na zabezpečení sítě, které odpovídají vašim stávajícím pracovním postupům operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (AwakeSecurity) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Arista – vzhůru zabezpečení |
Ukázky dotazů
Top 5 Adversarial Model Matches by Severity
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
Top 5 Devices by Device Risk Score
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Forward Awake Adversarial Model porovnává výsledky kolektoru CEF.
Pomocí následujících kroků přeposílání nežádoucího modelu vzhůru nežádoucích osob předáte výsledky kolektoru CEF na portu TCP 514 na IP adrese 192.168.0.1:
- Přejděte na stránku Dovednosti správy detekce v uživatelském rozhraní Probuzené.
- Klikněte na + Přidat novou dovednost.
- Nastavte pole Výraz na
integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }
- Nastavte pole Název na popisný název, například:
Výsledek shody nežádoucího modelu vzhůru dozhůru s Microsoft Sentinelem
- Nastavte identifikátor odkazu na něco snadno zjistitelného, například:
integrations.cef.sentinel-forwarder
- Klikněte na Uložit.
Poznámka: Během několika minut od uložení definice a dalších polí začne systém odesílat výsledky shody nového modelu do kolektoru událostí CEF při jejich zjištění.
Další informace najdete na stránce Přidání informací o zabezpečení a integrace nabízených oznámení správy událostí z dokumentace nápovědy v uživatelském rozhraní Probuzené.
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.