[Veraltet] AI Vectra Stream über Legacy Agent Connector für Microsoft Sentinel
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Mit dem AI Vectra Stream-Connector können Netzwerkmetadaten, die von Vectra-Sensoren gesammelt wurden, über das Netzwerk und die Cloud an Microsoft Sentinel gesendet werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | VectraStream_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Vectra AI |
Abfragebeispiele
Auflisten aller DNS-Abfragen
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Anzahl von DNS-Anforderungen pro Typ
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
Top 10 der Abfrage an nicht vorhandene Domäne
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Host und Websites mit nicht kurzlebigem Diffie-Hellman-Schlüsselaustausch
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Voraussetzungen
Um mit AI Vectra Stream über legacy Agent zu integrieren, stellen Sie sicher, dass Sie folgendes haben:
- Vectra AI Brain: Muss konfiguriert sein, um Streammetadaten in JSON exportieren zu können.
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: VectraStream. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
- Installieren und Onboarding des Agents für Linux
Installieren Sie den Linux-Agent in einer separaten Linux-Instanz.
Protokolle werden nur von Linux-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Führen Sie die folgenden Konfigurationsschritte aus, um Vectra Stream-Metadaten in Microsoft Sentinel zu übertragen. Der Log Analytics-Agent wird verwendet, um benutzerdefinierte JSON-Dateien an Azure Monitor zu senden und die Speicherung der Metadaten in einer benutzerdefinierten Tabelle zu ermöglichen. Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.
Laden Sie die Konfigurationsdatei für den Log Analytics-Agent herunter: „VectraStream.conf“ (befindet sich im Ordner „Connector“ innerhalb der Vectra-Lösung: https://aka.ms/sentinel-aivectrastream-conf).
Melden Sie sich bei dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.
Kopieren Sie die Datei „VectraStream.conf“ in den Ordner „/etc/opt/microsoft/omsagent/Arbeitsbereichs-ID/conf/omsagent.d/“.
Bearbeiten Sie die Datei „VectraStream.conf“ wie folgt:
i. Konfigurieren Sie bei Bedarf einen alternativen Port, an den Daten gesendet werden sollen. Der Standardport ist 29009.
ii. Ersetzen Sie Arbeitsbereichs-ID durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID.
Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart
Konfigurieren und Verbinden von Vectra AI Stream
Konfigurieren Sie Vectra AI Brain, um Streammetadaten im JSON-Format über den Log Analytics-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.
Navigieren Sie auf der Vectra-Benutzeroberfläche zu „Settings“ > „Cognito Stream“, und bearbeiten Sie die Zielkonfiguration:
Wählen Sie „RAW JSON“ als Herausgeber aus.
Legen Sie die Server-IP-Adresse oder den Hostnamen fest. (Hierbei handelt es sich um den Host, auf dem der Log Analytics-Agent ausgeführt wird.)
Legen Sie alle Ports auf 29009 fest. (Dieser Port kann bei Bedarf geändert werden.)
Speichern
Legen Sie Protokolltypen fest. (Wählen Sie alle verfügbaren Protokolltypen aus.)
Klicken Sie im Menü „Einstellungen“ auf Speichern
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.