Corelight Connector Exporter-Connector für Microsoft Sentinel

  • Artikel

Der Corelight-Datenconnector für Azure Sentinel ermöglicht es Incident Respondern und Threat Huntern, die Microsoft Sentinel verwenden, schneller und effektiver zu arbeiten. Mit dem Datenconnector können Ereignisse aus Zeek und Suricata über Corelight-Sensoren in Microsoft Sentinel erfasst werden.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen corelight_bacnet
corelight_capture_loss
corelight_cip
corelight_conn_long
corelight_conn_red
corelight_conn
corelight_corelight_burst
corelight_corelight_overall_capture_loss
corelight_corelight_profiling
corelight_datared
corelight_dce_rpc
corelight_dga
corelight_dhcp
corelight_dnp3
corelight_dns_red
corelight_dns
corelight_dpd
corelight_encrypted_dns
corelight_enip_debug
corelight_enip_list_identity
corelight_enip
corelight_etc_viz
corelight_files_red
corelight_files
corelight_ftp
corelight_generic_dns_tunnels
corelight_generic_icmp_tunnels
corelight_http2
corelight_http_red
corelight_http
corelight_icmp_specific_tunnels
corelight_intel
corelight_ipsec
corelight_irc
corelight_iso_cotp
corelight_kerberos
corelight_known_certs
corelight_known_devices
corelight_known_domains
corelight_known_hosts
corelight_known_names
corelight_known_remotes
corelight_known_services
corelight_known_users
corelight_local_subnets_dj
corelight_local_subnets_graphs
corelight_local_subnets
corelight_log4shell
corelight_modbus
corelight_mqtt_connect
corelight_mqtt_publish
corelight_mqtt_subscribe
corelight_mysql
corelight_notice
corelight_ntlm
corelight_ntp
corelight_ocsp
corelight_openflow
corelight_packet_filter
corelight_pe
corelight_profinet_dce_rpc
corelight_profinet_debug
corelight_profinet
corelight_radius
corelight_rdp
corelight_reporter
corelight_rfb
corelight_s7comm
corelight_signatures
corelight_sip
corelight_smartpcap_stats
corelight_smartpcap
corelight_smb_files
corelight_smb_mapping
corelight_smtp_links
corelight_smtp
corelight_snmp
corelight_socks
corelight_software
corelight_specific_dns_tunnels
corelight_ssh
corelight_ssl_red
corelight_ssl
corelight_stats
corelight_stepping
corelight_stun_nat
corelight_stun
corelight_suricata_corelight
corelight_suricata_eve
corelight_suricata_stats
corelight_suricata_zeek_stats
corelight_syslog
corelight_tds_rpc
corelight_tds_sql_batch
corelight_tds
corelight_traceroute
corelight_tunnel
Corelight
corelight_unknown_smartpcap
corelight_util_stats
corelight_vpn
corelight_weird_red
corelight_weird_stats
corelight_weird
corelight_wireguard
corelight_x509_red
corelight_x509
corelight_zeek_doctor
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Corelight

Abfragebeispiele

Wichtigste 10 Clients (Quell-IP-Adresse)

Corelight
	
| summarize count() by id_orig_h
	
| top 10 by count_

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector hängt von einem Parser ab, der auf einer Kusto-Funktion basiert, damit er wie die erwartete Corelight funktioniert, die mit der Microsoft Sentinel-Lösung bereitgestellt wird.

  1. Abrufen der Dateien

Wenden Sie sich an Ihren TAM, SE oder an info@corelight.com, um die für die Microsoft Sentinel-Integration erforderlichen Dateien abzurufen.

  1. Geben Sie die Beispieldaten wieder.

Geben Sie die Beispieldaten zum Erstellen der erforderlichen Tabellen im Log Analytics-Arbeitsbereich wieder.

Beispieldaten senden (nur einmal pro Log Analytics-Arbeitsbereich erforderlich)

./send_samples.py --workspace-id {0} --workspace-key {1}

  1. Installieren Sie den benutzerdefinierten Exporter.

Installieren Sie den benutzerdefinierten Exporter oder den Logstash-Container.

  1. Konfigurieren Sie den Corelight-Sensor zum Senden von Protokollen an den Azure Log Analytics-Agent.

Konfigurieren Sie mit den folgenden Werten Ihren Corelight-Sensor so, dass der Microsoft Sentinel-Exporter verwendet wird. Alternativ können Sie den Logstash-Container mit diesen Werten konfigurieren und Ihren Sensor so konfigurieren, dass JSON über TCP an diesen Container am entsprechenden Port gesendet wird.

Primärer Arbeitsbereichsschlüssel

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.