Compartir a través de


[En desuso] WithSecure Elements via connector for Microsoft Sentinel

Importante

La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.

WithSecure Elements es una plataforma unificada de seguridad cibernética basada en la nube. Al conectar WithSecure Elements a Microsoft Sentinel mediante el conector, los eventos de seguridad se pueden recibir en formato de evento común (CEF) a través de Syslog. Requiere la implementación de "Elements Connector" ya sea en la nube o en el entorno local. De manera nativa, el formato de evento común (CEF) ofrece búsqueda y correlación, generación de alertas y enriquecimiento de inteligencia sobre amenazas para cada registro de datos.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog (WithSecure Events)
Compatibilidad con reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con WithSecure

Ejemplos de consultas

Todos los registros

CommonSecurityLog

| where DeviceVendor == "WithSecure™"

| sort by TimeGenerated

Instrucciones de instalación del proveedor

  1. Configuración del agente de Syslog para Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1. Selección o creación de una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de WithSecurity y Sentinel. La máquina puede estar en el entorno local, Microsoft Azure o en otra nube.

Linux debe tener instalados syslog-ng y python/python3.

1.2. Instalación del recopilador de CEF en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

Para python3, use el comando siguiente:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}

  1. Reenvío de datos desde WithSecure Elements Connector al agente de Syslog

Aquí se describe cómo instalar y configurar Elements Connector paso a paso.

2.1 Solicitud de suscripción al conector

Si todavía no se solicita la suscripción al conector, vaya a EPP en el portal de Elements. Luego, vaya a Downloads (Descargas) y, en la sección Elements Connector (Conector de Elements), haga clic en el botón "Create subscription key" (Crear clave de suscripción). Puede comprobar su clave de suscripción en Subscriptions (Suscripciones).

2.2 Descarga del conector

Vaya a Downloads (Descargas) y, en la sección WithSecure Elements Connector (Conector de WithSecure Elements), seleccione el instalador correcto.

2.3 Creación de una clave de API de administración

En EPP, abra la configuración de la cuenta que se ubica en la esquina superior derecha. Luego, seleccione Get management API key (Obtener clave de API de administración). Si se creó anteriormente la clave, también se puede ver ahí.

2.4 Instalación del conector

Para instalar el conector de Elements, siga las indicaciones de la documentación sobre el conector de Elements.

2.5 Configuración del reenvío de eventos

Si no se configuró el acceso a la API durante la instalación, siga el artículo sobre cómo configurar el acceso a la API para el conector de Elements. Luego, vaya a EPP, Profiles (Perfiles) y use For Connector (Para el conector), desde donde podrá ver los perfiles del conector. Cree un perfil (o edite un perfil existente que no sea de solo lectura). En Event forwarding (Reenvío de eventos), habilítelo. Dirección del sistema SIEM: 127.0.0.1:514. Establezca el formato en Common Event Format (Formato de evento común). El protocolo es TCP. Guarde el perfil y asígnelo al conector de Elements en la pestaña Devices (Dispositivos).

  1. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

Para python3, use el comando siguiente:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.