[En desuso] AI Vectra Stream a través del conector del agente heredado para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector AI Vectra Stream permite enviar metadatos de red recopilados por sensores Vectra a través de la red y la nube a Microsoft Sentinel.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | VectraStream_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Vectra AI |
Ejemplos de consultas
Enumeración de todas las consultas DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Número de solicitudes DNS por tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
Principales 10 consultas a dominios no existentes
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Hospedaje y sitios web con intercambio de claves Diffie-Hellman no efímero
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Requisitos previos
Para integrar con AI Vectra Stream a través del agente heredado, asegúrese de que tiene:
- Vectra AI Brain: debe configurarse para exportar metadatos de Stream en JSON
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en VectraStream, que se implementa con la solución de Microsoft Sentinel.
- Instale e incorpore el agente para Linux.
Instale el agente para Linux en una instancia de Linux independiente.
Los registros solo se recopilan de agentes de Linux.
- Configure los registros que se van a recopilar.
Use los pasos de configuración siguientes para obtener los metadatos de Vectra Stream en Microsoft Sentinel. El agente de Log Analytics se aprovecha para enviar JSON personalizado a Azure Monitor, lo que permite el almacenamiento de los metadatos en una tabla personalizada. Para obtener más información, consulte la documentación de Azure Monitor.
Descargue el archivo de configuración del agente de Log Analytics: VectraStream.conf (ubicado en la carpeta Connector dentro de la solución Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Inicie sesión en el servidor donde ha instalado el agente de Azure Log Analytics.
Copie VectraStream.conf en la carpeta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite VectraStream.conf de la manera siguiente:
i. configure un puerto alternativo al que se enviarán los datos, si lo desea. El puerto predeterminado es 29009.
ii. Reemplace workspace_id por el valor real del identificador del área de trabajo.
Guarde los cambios y reinicie el servicio del agente de Azure Log Analytics para Linux con el siguiente comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Configuración y conexión de Vectra AI Stream
Configure Vectra AI Brain para reenviar metadatos de Stream en formato JSON al área de trabajo de Microsoft Sentinel mediante el agente de Log Analytics.
En la interfaz de usuario de Vectra, vaya a Configuración > Cognito Stream y edite la configuración de destino:
Seleccione el editor: RAW JSON
Establezca la dirección IP del servidor o el nombre de host (que es el host que ejecuta el agente de Log Analytics)
Establezca todo el puerto en 29009 (este puerto se puede modificar si es necesario)
Guardar
Establezca los tipos de registro (seleccione todos los tipos disponibles)
Haga clic en Guardar.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.