ExtraHop Reveal(x)-Connector für Microsoft Sentinel

  • Artikel

Der ExtraHop Reveal(x)-Datenconnector ermöglicht es Ihnen, Ihr ExtraHop Reveal(x)-System auf einfache Weise mit Microsoft Sentinel zu verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung von Daten zu verbessern. Durch diese Integration können Sie einen besseren Einblick in das Netzwerk Ihrer Organisation gewinnen und die Möglichkeiten für Sicherheitsvorgänge verbessern.

Connector-Attribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (‘ExtraHop’)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von ExtraHop

Abfragebeispiele

Alle Protokolle


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| sort by TimeGenerated

Alle Erkennungen, dedupliziert


CommonSecurityLog

| where DeviceVendor == "ExtraHop"

         
| extend categories = iif(DeviceCustomString2 != "", split(DeviceCustomString2, ","),dynamic(null))
                
| extend StartTime = extract("start=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
                
| extend EndTime = extract("end=([0-9-]+T[0-9:.]+Z)", 1, AdditionalExtensions,typeof(datetime))
                
| project      
                DeviceEventClassID="ExtraHop Detection",
                Title=Activity,
                Description=Message,
                riskScore=DeviceCustomNumber2,     
                SourceIP,
                DestinationIP,
                detectionID=tostring(DeviceCustomNumber1),
                updateTime=todatetime(ReceiptTime),
                StartTime,
                EndTime,
                detectionURI=DeviceCustomString1,
                categories,
                Computer
                
| summarize arg_max(updateTime, *) by detectionID
                
| sort by detectionID desc

Voraussetzungen

Zur Integration in ExtraHop Reveal(x) stellen Sie Folgendes sicher:

  • ExtraHop: ExtraHop Discover- oder Command-Appliance mit Firmwareversion 7.8 oder höher mit einem Benutzerkonto, das über unbegrenzte Berechtigungen (Administratorberechtigungen) verfügt.

Installationsanweisungen des Anbieters

  1. Konfiguration des Linux-Syslog-Agents

Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.

Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden

1.1 Auswählen oder Erstellen eines Linux-Computers

Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.

1.2 Installieren des CEF-Collectors auf dem Linux-Computer

Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python --version.
  1. Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.

Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. ExtraHop Networks-Protokolle an Syslog-Agent weiterleiten

  2. Stellen Sie Ihre Sicherheitslösung so ein, dass sie Syslog-Nachrichten im CEF-Format an den Proxycomputer sendet. Die Protokolle müssen über TCP-Port 514 an die IP-Adresse des Computers gesendet werden.

  3. Befolgen Sie die Anweisungen, um das ExtraHop Detection SIEM Connector-Paket auf Ihrem Reveal(x)-System zu installieren. Für diese Integration ist der SIEM-Connector erforderlich.

  4. Aktivieren des Triggers für extraHop Detection SIEM Connector – CEF

  5. Aktualisieren des Triggers mit den von Ihnen erstellten ODS-Syslog-Zielen

  6. Das Reveal(x)-System formatiert Syslog-Nachrichten im Common Event Format (CEF) und sendet dann Daten an Microsoft Sentinel.

  7. Überprüfen der Verbindung

Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:

Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.

Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.

Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:

  1. Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python – version
  1. Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen

Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.