Connecteur Trend Micro Deep Security pour Microsoft Sentinel
Le connecteur Trend Micro Deep Security vous permet de connecter facilement vos journaux Deep Security à Microsoft Sentinel afin de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer l’investigation. Cela vous donne plus d’informations sur les réseaux et systèmes de votre organisation et améliore vos capacités d’opération de sécurité.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
URL de fonction Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
Table(s) Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | Trend Micro |
Exemples de requête
Événements de prévention des intrusions
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Événements de surveillance de l’intégrité
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Événements de pare-feu
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Événements d’inspection du journal d’activité
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Événements anti-programme malveillant
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Événements de réputation web
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Transférer les journaux Trend Micro Deep Security à l’agent Syslog
Configurez votre solution de sécurité pour envoyer des messages Syslog au format CEF au proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.
Transférez les événements Trend Micro Deep Security à l’agent Syslog.
Définissez une nouvelle configuration Syslog qui utilise le format CEF en référençant cet article de connaissances pour plus d’informations.
Configurez Deep Security Manager pour utiliser cette nouvelle configuration pour transférer des événements à l’agent Syslog en suivant ces instructions.
Veillez à enregistrer la fonction TrendMicroDeepSecurity afin qu’elle interroge correctement les données Trend Micro Deep Security.
Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.