Trend Micro Deep Security-Connector für Microsoft Sentinel

  • Artikel

Der Trend Micro Deep Security-Datenconnector ermöglicht es Ihnen, Ihre Trend Micro Deep Security-Protokolle auf einfache Weise mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung von Daten zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk und die Systeme Ihrer Organisation und können Ihre Sicherheitsprozesse verbessern.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Kusto-Funktions-URL https://aka.ms/TrendMicroDeepSecurityFunction
Log Analytics-Tabellen CommonSecurityLog (TrendMicroDeepSecurity)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Trend Micro

Abfragebeispiele

Ereignisse zum Eindringschutz


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

Ereignisse zur Integritätsüberwachung


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

Ereignisse zur Firewall


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

Ereignisse zur Protokollüberprüfung


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

Ereignisse zu Antischadsoftware


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

Ereignisse zur Webreputation


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

Installationsanweisungen des Anbieters

  1. Konfiguration des Linux-Syslog-Agents

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden

1.1 Linux-Computer auswählen oder erstellen

Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.

1.2 CEF-Sammler auf dem Linux-Computer installieren

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
  1. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.

Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Weiterleiten von Trend Micro Deep Security-Protokollen an den Syslog-Agent

  2. Stellen Sie Ihre Sicherheitslösung so ein, dass sie Syslog-Nachrichten im CEF-Format an den Proxycomputer sendet. Die Protokolle müssen über den TCP-Port 514 der IP-Adresse des Computers gesendet werden.

  3. Leiten Sie Trend Micro Deep Security-Ereignisse an den Syslog-Agent weiter.

  4. Definieren Sie eine neue Syslog-Konfiguration mit dem Common Event Format. Weitere Informationen finden Sie in diesem Wissensartikel.

  5. Konfigurieren Sie Deep Security Manager, um mithilfe dieser neuen Konfiguration Ereignisse an den Syslog-Agent weiterzuleiten. Eine entsprechende Anleitung finden Sie hier.

  6. Speichern Sie die Funktion TrendMicroDeepSecurity, damit die Trend Micro Deep Security-Daten ordnungsgemäß abgefragt werden.

  7. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
  1. Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen

Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.