WithSecure Elements über einen Connector für Microsoft Sentinel
WithSecure Elements ist eine einheitliche cloudbasierte Cybersicherheitsplattform. Indem Sie WithSecure Elements über den Connector mit Microsoft Sentinel verbinden, können sicherheitsrelevante Ereignisse im Common Event Format (CEF) über syslog empfangen werden. Dazu muss „Elements Connector“ entweder lokal oder in der Cloud bereitgestellt werden. Das Common Event Format (CEF) bietet native Such- und Korrelations-, Warnungs- und Bedrohungserkennungserweiterung für jedes Datenprotokoll.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog (WithSecure-Ereignisse) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | WithSecure |
Abfragebeispiele
Alle Protokolle
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Installationsanweisungen des Anbieters
- Konfiguration des Linux-Syslog-Agents
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden
1.1 Linux-Computer auswählen oder erstellen
Wählen Sie einen Linux-Computer aus, der von Microsoft Sentinel als Proxy zwischen Ihrer WithSecurity-Lösung und Sentinel verwendet werden soll, oder erstellen Sie einen. Der Computer kann eine lokale Umgebung, Microsoft Azure oder eine andere cloudbasierte Umgebung sein.
Unter Linux müssen
syslog-ngundpython/python3installiert sein.
1.2 CEF-Sammler auf dem Linux-Computer installieren
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
- Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Verwenden Sie für python3 den folgenden Befehl:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Weiterleiten von Daten von WithSecure Elements Connector an den Syslog-Agent
Hier wird beschrieben, wie Sie Elements Connector Schritt für Schritt installieren und konfigurieren.
2.1 Anfordern eines Connectorabonnements
Wenn das Connectorabonnement noch nicht angefordert wurde, wechseln Sie im Elements-Portal zu EPP. Navigieren Sie dann zu „Downloads“, und klicken Sie im Abschnitt „Elements Connector“ auf die Schaltfläche „Create subscription key“ (Abonnementschlüssel erstellen). Sie können Ihren Abonnementschlüssel unter „Subscriptions“ (Abonnements) überprüfen.
2.2 Herunterladen des Connectors
Wechseln Sie zu „Downloads“, und wählen Sie im Abschnitt „WithSecure Elements Connector“ das richtige Installationsprogramm aus.
2.3 Erstellen eines Verwaltungs-API-Schlüssels
Öffnen Sie in EPP in der oberen rechten Ecke die Kontoeinstellungen. Wählen Sie dann „Get management API key“ (Verwaltungs-API-Schlüssel abrufen) aus. Wenn der Schlüssel zuvor erstellt wurde, kann er dort auch gelesen werden.
2.4 Installieren des Connectors
Um Elements Connector zu installieren, folgen Sie der Dokumentation zu Elements Connector.
2.5 Konfigurieren der Ereignisweiterleitung
Wenn der API-Zugriff während der Installation nicht konfiguriert wurde, folgen Sie den Anleitungen unter Konfigurieren des API-Zugriffs für Elements Connector. Wechseln Sie dann zu EPP, dann zu „Profiles“ (Profile), und verwenden Sie dann „For Connector“ (Für Connector). Dort werden die Connectorprofile angezeigt. Erstellen Sie ein neues Profil (oder bearbeiten Sie ein vorhandenes nicht schreibgeschütztes Profil). Aktivieren Sie es in der Ereignisweiterleitung. Adresse des SIEM-Systems: 127.0.0.1:514. Legen Sie das Format auf Common Event Format fest. Das Protokoll ist TCP. Speichern Sie das Profil, und weisen Sie es Elements Connector auf der Registerkarte „Devices“ (Geräte) zu.
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Verwenden Sie für python3 den folgenden Befehl:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.