Teilen über


[Veraltet] Awake Security über Legacy-Agent-Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Mit dem CEF-Connector von Awake Security können Benutzer Erkennungsmodellübereinstimmungen von der Awake Security Platform an Microsoft Sentinel senden. Beheben Sie Bedrohungen schnell mit der Leistungsfähigkeit der Netzwerkerkennung und -reaktion, und beschleunigen Sie Untersuchungen mit tiefem Einblick, insbesondere bei nicht verwalteten Entitäten, einschließlich Benutzern, Geräten und Anwendungen in Ihrem Netzwerk. Der Connector ermöglicht auch die Erstellung von benutzerdefinierten Warnungen, Incidents, Arbeitsmappen und Notebooks, die sich auf die Netzwerksicherheit konzentrieren und an Ihren bestehenden Security Operations-Workflows orientieren.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (AwakeSecurity)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Arista - Awake Security

Abfragebeispiele

Wichtigste 5 Übereinstimmungen mit dem „Adversarial Model“ nach Schweregrad

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

Wichtigste 5 Geräte nach Geräterisikobewertung

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Installationsanweisungen des Anbieters

  1. Konfiguration des Linux-Syslog-Agents

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden

1.1 Linux-Computer auswählen oder erstellen

Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.

1.2 CEF-Sammler auf dem Linux-Computer installieren

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
  1. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.

Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Weiterleiten von Übereinstimmungsergebnissen mit dem Awake Adversarial Model an einen CEF-Collector.

Führen Sie die folgenden Schritte aus, um die Übereinstimmungsergebnisse mit dem Awake Adversarial Model an einen CEF-Collector weiterzuleiten, der an TCP-Port 514 unter der IP-Adresse 192.168.0.1 lauscht:

  • Navigieren Sie auf der Awake-Benutzeroberfläche zur Seite „Detection Management Skills“ (Skills für die Erkennungsverwaltung).
  • Klicken Sie auf „+ Add New Skill“ (Neuen Skill hinzufügen).
  • Legen Sie das Feld „Expression“ (Ausdruck) auf

„integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }“ fest.

  • Legen Sie das Feld „Title“ (Titel) auf einen beschreibenden Namen wie

„Übereinstimmungsergebnisse mit dem Awake Adversarial Model an Microsoft Sentinel weiterleiten“ fest.

  • Legen Sie den „Reference Identifier“ (Verweisbezeichner) auf etwas leicht zu erkennendes wie

„integrations.cef.sentinel-forwarder“ fest.

  • Klicken Sie auf Speichern.

Hinweis: Innerhalb weniger Minuten nach dem Speichern der Definition und anderer Felder beginnt das System, neue Modellübereinstimmungsergebnisse an den CEF-Ereigniscollector zu senden, sobald diese erkannt werden.

Weitere Informationen finden Sie auf der Seite Hinzufügen einer Pushintegration für Sicherheitsinformationen und Ereignisverwaltung in der Hilfedokumentation auf der Awake-Benutzeroberfläche.

  1. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
  1. Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen

Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.