Konektor Trend Micro TippingPoint pro Microsoft Sentinel
Konektor Trend Micro TippingPoint umožňuje snadno propojit události IPS SMS služby TippingPoint se službou Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Získáte tak lepší přehled o sítích a systémech vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (TrendMicroTippingPoint) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Trend Micro |
Ukázky dotazů
Události IPS pro TippingPoint
TrendMicroTippingPoint
| sort by TimeGenerated
Hlavní události IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by DeviceEventClassID, Activity, SimplifiedDeviceAction
| sort by EventCountTotal desc
Hlavní zdrojová IP adresa pro události IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by SourceIP
| sort by EventCountTotal desc
Hlavní cílová IP adresa pro události IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by DestinationIP
| sort by EventCountTotal desc
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias TrendMicroTippingPoint a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Forward Trend Micro TippingPoint SMS logs to Syslog agent
Nastavte zprávu TippingPoint SMS tak, aby odesílala zprávy Syslogu ve formátu ARCSight CEF Format v4.2 na proxy počítač. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.
- Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.