Teilen über


[Veraltet] Aruba ClearPass über den Legacy-Agent-Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Der Aruba ClearPass-Connector ermöglicht es Ihnen, Ihr Aruba ClearPass auf einfache Weise mit Microsoft Sentinel zu verbinden, um benutzerdefinierte Dashboards und Warnungen zu erstellen und die Untersuchung von Daten zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (ArubaClearPass)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Microsoft Corporation

Abfragebeispiele

Wichtigste 10 Ereignisse nach Benutzernamen

ArubaClearPass 

| summarize count() by UserName 

| top 10 by count_

Wichtigste 10 Fehlercodes

ArubaClearPass 

| summarize count() by ErrorCode 

| top 10 by count_

Installationsanweisungen des Anbieters

HINWEIS: Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt Log Analytics-/Microsoft Sentinel-Protokolle, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „ArubaClearPass“ und laden Sie den Funktionscode oder klicken Sie hier. Die Aktivierung der Funktion dauert normalerweise 10 bis 15 Minuten nach der Installation/Aktualisierung der Lösung.

  1. Konfiguration des Linux-Syslog-Agents

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden

1.1 Linux-Computer auswählen oder erstellen

Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.

1.2 CEF-Sammler auf dem Linux-Computer installieren

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
  1. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.

Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Weiterleiten von Aruba ClearPass-Protokollen an einen Syslog-Agent

Konfigurieren Sie Aruba ClearPass so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden.

  1. Befolgen Sie diese Anweisungen, um Aruba ClearPass für die Weiterleitung an syslog zu konfigurieren.

  2. Verwenden Sie die IP-Adresse oder den Host-Namen für das Linux-Gerät mit installiertem Linux-Agent als Ziel-IP-Adresse.

  3. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
  1. Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen

Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.