Connector „iboss“ für Microsoft Sentinel
Mit dem Datenconnector iboss können Sie Ihre Bedrohungskonsole nahtlos mit Microsoft Sentinel verbinden und Ihre Instanz mit iboss-URL-Ereignisprotokollen anreichern. Unsere Protokolle werden im Common Event Format (CEF) über Syslog weitergeleitet, und die erforderliche Konfiguration kann auf der iboss-Plattform ohne Verwendung eines Proxys durchgeführt werden. Nutzen Sie unseren Connector, um kritische Datenpunkte zu sammeln und Einblicke in Sicherheitsbedrohungen zu erhalten.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | ibossUrlEvent |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | iboss |
Abfragebeispiele
Empfangene Protokolle der letzten Woche
ibossUrlEvent
| where TimeGenerated > ago(7d)
Installationsanweisungen des Anbieters
- Konfigurieren eines dedizierten Linux-Proxycomputers
Fahren Sie mit diesem Schritt fort, wenn Sie die iboss-Government-Umgebung verwenden oder die Weiterleitung der Protokolle an einen dedizierten Linux-Proxycomputer bevorzugen. Fahren Sie andernfalls mit Schritt 2 fort.
1.1 Konfiguration des Linux-Syslog-Agents
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre CEF-Syslog-Nachrichten (Common Event Format) sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden.
1.2 Auswählen oder Erstellen eines Linux-Computers
Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen Linux-Computer, den Microsoft Sentinel als dedizierten Linux-Proxycomputer zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.
1.3 Installieren des CEF-Collectors auf dem Linux-Computer
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Collector sammelt CEF-Nachrichten am TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen.
Führen Sie den folgenden Befehl zum Installieren und Anwenden des CEF-Collectors aus:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Leiten Sie CEF-Protokolle (Common Event Format) weiter.
Richten Sie Ihre Bedrohungskonsole so ein, dass Syslog-Nachrichten im Common Event Format an Ihren Azure-Arbeitsbereich gesendet werden. Notieren Sie sich Ihre Arbeitsbereichs-ID und den Primärschlüssel in Ihrem Log Analytics-Arbeitsbereich. (Wählen Sie im Azure-Portal im Menü „Log Analytics-Arbeitsbereiche“ den Arbeitsbereich und anschließend im Abschnitt „Einstellungen“ die Option „Agent-Verwaltung“ aus.)
- Navigieren Sie in Ihrer iboss-Konsole zu Reporting & Analytics.
- Wählen Sie „Log Forwarding“ > „Forward From Reporter“ aus.
- Wählen Sie „Actions“ > „Add Service“ aus.
- Legen Sie „Microsoft Sentinel“ als Diensttyp fest, und geben Sie Ihre Arbeitsbereichs-ID bzw. Ihren Primärschlüssel zusammen mit anderen Kriterien ein. Wenn ein dedizierter Linux-Proxycomputer konfiguriert wurde, legen Sie „Syslog“ als Diensttyp fest, und konfigurieren Sie die Einstellungen so, dass sie auf Ihren dedizierten Linux-Proxycomputer verweisen.
- Warten Sie ein bis zwei Minuten, bis die Einrichtung abgeschlossen ist.
- Wählen Sie Ihren Microsoft Sentinel-Dienst aus, und vergewissern Sie sich anhand des Status, dass Microsoft Sentinel erfolgreich eingerichtet wurde. Wenn ein dedizierter Linux-Proxycomputer konfiguriert wurde, können Sie mit der Überprüfung Ihrer Verbindung fortfahren.
- Überprüfen der Verbindung
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
- Schützen Ihres Computers
Konfigurieren Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation. (Nur relevant, wenn ein dedizierter Linux-Proxycomputer konfiguriert wurde.)
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.