Tenable Identity Exposure-Connector für Microsoft Sentinel
Tenable Identity Exposure Connector ermöglicht die Aufnahme von Indikatoren für Gefährdung und Indikatoren für Angriffs- und Trailflow-Protokolle in Microsoft Sentinel. Die verschiedenen Arbeitsbücher und Datenparser ermöglichen es Ihnen, Protokolle einfacher zu bearbeiten und Ihre Active Directory-Umgebung zu überwachen. Mithilfe der Analysevorlagen können Sie Antworten auf verschiedene Ereignisse, Expositionen und Angriffe automatisieren.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Kusto-Funktionsalias | afad_parser |
| Log Analytics-Tabellen | Tenable_IE_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Tenable |
Abfragebeispiele
Anzahl der von jedem IoE-Ereignis (Indicators of Exposures) ausgelösten Warnungen abrufen
afad_parser
| where MessageType == 0
| summarize AlertCount = count() by Codename
Alle IoE-Warnungen mit Schweregrad über dem Schwellenwert abrufen
let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser
| where MessageType == 0
| lookup kind=leftouter SeverityTable on Severity
| where Level >= ['threshold']
Alle IoE-Warnungen für die letzten 24 Stunden abrufen
afad_parser
| where MessageType == 0 and TimeGenerated > ago(1d)
Alle IoE-Warnungen für die letzten 7 Tage abrufen
afad_parser
| where MessageType == 0 and TimeGenerated > ago(7d)
Alle IoE-Warnungen für die letzten 30 Tage abrufen
afad_parser
| where MessageType == 0 and TimeGenerated > ago(30d)
Alle Änderungen am Nachverfolgungsflow für die letzten 24 Stunden abrufen
afad_parser
| where MessageType == 1 and TimeGenerated > ago(1d)
Alle Änderungen am Nachverfolgungsflow für die letzten 7 Tage abrufen
afad_parser
| where MessageType == 1 and TimeGenerated > ago(7d)
Anzahl der von jedem IoA-Ereignis ausgelösten Warnungen abrufen
afad_parser
| where MessageType == 2
| summarize AlertCount = count() by Codename
Alle IoA-Warnungen für die letzten 30 Tage abrufen
afad_parser
| where MessageType == 2 and TimeGenerated > ago(30d)
Voraussetzungen
Um mit Tenable Identity Exposure zu integrieren, stellen Sie sicher, dass Sie Folgendes haben:
- Zugriff auf TenableIE-Konfiguration: Berechtigungen zum Konfigurieren des Syslog-Warnungsmoduls
Installationsanweisungen des Anbieters
Dieser Daten-Connector ist abhängig von einem afad_parser, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert, die mit der Microsoft Sentinel-Lösung bereitgestellt wird.
Konfigurieren des Syslog-Servers
Sie benötigen zunächst einen Linux-Syslog-Server, an den TenableIE Protokolle sendet. Unter Ubuntu können Sie in der Regel rsyslog ausführen. Sie können diesen Server dann wie gewünscht konfigurieren. Es wird jedoch empfohlen, TenableIE-Protokolle in eine separate Datei auszugeben.
Konfigurieren Sie rsyslog so, dass Protokolle von Ihrer TenableIE-IP-Adresse akzeptiert werden.
sudo -i # Set TenableIE source IP address export TENABLE_IE_IP={Enter your IP address} # Create rsyslog configuration file cat > /etc/rsyslog.d/80-tenable.conf << EOF \$ModLoad imudp \$UDPServerRun 514 \$ModLoad imtcp \$InputTCPServerRun 514 \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n" \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log" *.* ?remote-incoming-logs;MsgTemplate EOF # Restart rsyslog systemctl restart rsyslogInstallation und Onboarding des Microsoft-Agent für Linux
Der OMS-Agent empfängt die TenableIE-Syslog-Ereignisse und veröffentlicht sie in Microsoft Sentinel.
Überprüfen der Agentprotokolle auf dem Syslog-Server
tail -f /var/opt/microsoft/omsagent/log/omsagent.logKonfigurieren von TenableIE zum Senden von Protokollen an Ihren Syslog-Server
Wechseln Sie im TenableIE-Portal zu System, Konfiguration und dann Syslog. Dort können Sie eine neue Syslog-Warnung für den Syslog-Server erstellen.
Überprüfen Sie anschließend, ob die Protokolle auf dem Server ordnungsgemäß in einer separaten Datei gesammelt werden. Dazu können Sie die Schaltfläche Test the configuration (Konfiguration testen) in der Syslog-Warnungskonfiguration in TenableIE verwenden. Wenn Sie die Schnellstartvorlage verwendet haben, lauscht der Syslog-Server standardmäßig an Port 514 bei UDP und 1514 bei TCP ohne TLS.
Konfigurieren der benutzerdefinierten Protokolle
Konfigurieren Sie den Agent, um die Protokolle zu erfassen.
Wechseln Sie in Microsoft Sentinel zu Konfiguration –>Einstellungen –>Arbeitsbereichseinstellungen –>Benutzerdefinierte Protokolle.
Klicken Sie auf Benutzerdefiniertes Protokoll hinzufügen.
Laden Sie eine Syslog-Beispieldatei TenableIE.log vom Linux-Computer mit dem Syslog-Server hoch, und klicken Sie auf Weiter.
Legen Sie das Datensatztrennzeichen auf Neue Zeile fest, wenn dies noch nicht geschehen ist, und klicken Sie auf Weiter.
Wählen Sie Linux aus, geben Sie den Dateipfad zur Syslog-Datei ein, klicken Sie auf + und dann auf Weiter. Der Standardspeicherort der Datei ist
/var/log/TenableIE.log. Wenn Sie über eine Tenable-Version <3.1.0 verfügen, müssen Sie auch diesen Linux-Dateispeicherort/var/log/AlsidForAD.loghinzufügen.Legen Sie den Namen auf Tenable_IE_CL fest (Azure fügt _CL am Ende des Namens automatisch hinzu, und es darf nur einmal vorhanden sein, stellen Sie also sicher, dass der Name nicht Tenable_IE_CL_CL ist).
Klicken Sie auf Weiter und dann auf Erstellen.
Viel Erfolg!
Sie sollten jetzt Protokolle in der Tabelle Tenable_IE_CL empfangen können. Protokolldaten können mithilfe der Funktion afad_parser() analysiert werden, die von allen Abfragebeispielen, Arbeitsmappen und Analysevorlagen verwendet wird.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.