[Veraltet] FireEye Network Security (NX)-Connector über Legacy-Agent für Microsoft Sentinel
Der FireEye Network Security (NX)-Datenconnector bietet die Möglichkeit, FireEye Network Security-Protokolle in Microsoft Sentinel zu erfassen.
Connector-Attribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | CommonSecurityLog (FireEyeNX) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Quellen
FireEyeNXEvent
| where isnotempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Daten-Connector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, damit er wie das erwartete FireEyeNXEvent funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
Hinweis
Dieser Datenconnector wurde mit FEOS Release v9.0 entwickelt.
- Konfiguration des Linux-Syslog-Agens
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden
1.1 Linux-Computer auswählen oder erstellen
Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.
1.2 CEF-Sammler auf dem Linux-Computer installieren
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
- Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurieren von FireEye NX zum Senden von Protokollen mithilfe von CEF
Führen Sie die folgenden Schritte aus, um Daten mithilfe von CEF zu senden:
2.1. Melden Sie sich bei der FireEye-Appliance mit einem Administratorkonto an.
2.2. Klicken Sie auf Einstellungen.
2.3. Klicken Sie auf Benachrichtigungen.
Klicken Sie auf rsyslog.
2.4. Aktivieren Sie das Kontrollkästchen Ereignistyp.
2.5. Stellen Sie sicher, dass die Rsyslog-Einstellungen wie folgt aussehen:
Standardformat: CEF
Standardübermittlung: Pro Ereignis
Standardmäßig senden als: Warnung
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für