[Zastaralé] Trend Micro Deep Security prostřednictvím staršího konektoru pro Microsoft Sentinel
Důležité
Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.
Konektor Trend Micro Deep Security umožňuje snadno propojit protokoly hloubkového zabezpečení s Microsoft Sentinelem, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Získáte tak lepší přehled o sítích a systémech vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Adresa URL funkce Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
Tabulky Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Trend Micro |
Ukázky dotazů
Události prevence neoprávněných vniknutí
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Události monitorování integrity
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Události brány firewall
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Události kontroly protokolu
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Antimalwarové události
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Události reputace webu
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Pokyny k instalaci dodavatele
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Forward Trend Micro Deep Security logs to Syslog agent
Nastavte řešení zabezpečení tak, aby do proxy počítače odesílaly zprávy Syslog ve formátu CEF. Nezapomeňte protokoly odeslat na port 514 TCP na IP adrese počítače.
Předávání událostí Micro Deep Security trendu do agenta Syslog.
Definujte novou konfiguraci Syslogu, která používá formát CEF, a to odkazem na tento článek znalostní báze, kde najdete další informace.
Pomocí těchto pokynů nakonfigurujte Správce hloubkového zabezpečení tak, aby pomocí této nové konfigurace předával události agentu Syslogu.
Nezapomeňte uložit funkci TrendMicroDeepSecurity , aby správně dotazuje data Trend Micro Deep Security.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.