[Zastaralé] Claroty prostřednictvím konektoru starší verze agenta pro Microsoft Sentinel
Datový konektor Claroty poskytuje funkci ingestování událostí nepřetržité detekce hrozeb a zabezpečeného vzdáleného přístupu do Služby Microsoft Sentinel.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (Claroty) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Nejlepších 10 cílů
ClarotyEvent
| where isnotempty(DstIpAddr)
| summarize count() by DstIpAddr
| top 10 by count_
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání ClarotyEvent nasazené s řešením Microsoft Sentinel.
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurace Claroty pro odesílání protokolů pomocí CEF
Konfigurace předávání protokolů pomocí CEF:
V nabídce Konfigurace přejděte do části Syslog .
Vyberte +Přidat.
V dialogovém okně Přidat nový syslog zadejte IP adresu vzdáleného serveru, port, protokol a vyberte CEF formát - zprávy.
Zvolte Uložit a ukončete dialogové okno Přidat syslog.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.