[Zastaralé] Illumio Core prostřednictvím konektoru starší verze agenta pro Microsoft Sentinel
Datový konektor Illumio Core poskytuje možnost ingestovat protokoly Illumio Core do Služby Microsoft Sentinel.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | CommonSecurityLog (IllumioCore) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft |
Ukázky dotazů
Prvních 10 typů událostí
IllumioCoreEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias IllumioCoreEvent a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení a mapuje základní události Illumio na informační model Microsoft Sentinelu (ASIM).
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurace Ilumio Core pro odesílání protokolů pomocí CEF
2.1 Konfigurace formátu události
V nabídce webové konzoly PCE zvolte Nastavení Událost Nastavení>, abyste zobrazili aktuální nastavení.
Chcete-li změnit nastavení, klikněte na upravit .
Nastavte formát události na CEF.
(Volitelné) Nakonfigurujte závažnosta dobu uchovávání událostí.
2.2 Konfigurace předávání událostí na externí server syslog
V nabídce webové konzoly PCE zvolte Nastavení událostí Nastavení>.
Klikněte na tlačítko Přidat.
Klikněte na Přidat úložiště.
Dokončete dialogové okno Přidat úložiště.
Kliknutím na tlačítko OK uložte konfiguraci předávání událostí.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.