Partage via


[Déconseillé] AI Vectra Stream via le connecteur De l’agent hérité pour Microsoft Sentinel

Important

La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.

Le connecteur AI Vectra Stream permet d’envoyer des métadonnées réseau collectées par des capteurs Vectra sur le réseau et le cloud à Microsoft Sentinel

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics VectraStream_CL
Prise en charge des règles de collecte des données Non prise en charge pour le moment
Pris en charge par Vectra AI

Exemples de requête

Répertorier toutes les requêtes DNS

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

Nombre de requêtes DNS par type

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by qtype_name

10 requêtes principales vers un domaine non existant

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

Hôtes et sites web utilisant un échange de clés non éphémère Diffie-Hellman

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

Prérequis

Pour intégrer AI Vectra Stream via l’agent hérité, vérifiez que vous disposez des points suivants :

  • Vectra AI Brain : doit être configuré pour exporter les métadonnées stream dans JSON

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu VectraStream qui est déployé avec la solution Microsoft Sentinel.

  1. Installer et intégrer l'agent pour Linux

Installez l’agent Linux sur une instance Linux distincte.

Les journaux sont collectés uniquement à partir d’agents Linux.

  1. Configurer les journaux à collecter

Suivez les étapes de configuration ci-dessous pour accéder aux métadonnées Vectra Stream dans Microsoft Sentinel. L’agent Log Analytics est utilisé pour envoyer un code JSON personnalisé dans Azure Monitor, ce qui permet le stockage des métadonnées dans une table personnalisée. Pour plus d’informations, consultez la Documentation Azure Monitor.

  1. Téléchargez le fichier config pour l’agent Log Analytics : VectraStream.conf (situé dans le dossier Connecteur de la solution Vectra : https://aka.ms/sentinel-aivectrastream-conf).

  2. Connectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.

  3. Copiez VectraStream.conf dans le dossier /etc/opt/microsoft/omsagent/ID_espace_travail/conf/omsagent.d/.

  4. Modifiez VectraStream.conf comme suit :

    i. Configurez un autre port vers lequel envoyer les données, si vous le souhaitez. Le port par défaut est 29009.

    ii. Remplacez ID_espace_travail par la valeur réelle d’ID de votre espace de travail.

  5. Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux avec la commande suivante : sudo /opt/microsoft/omsagent/bin/service_control restart.

  6. Configurer et connecter Vectra AI Stream

Configurez Vectra AI Brain pour transférer les métadonnées Stream au format JSON vers votre espace de travail Microsoft Sentinel via l’agent Log Analytics.

À partir de l’interface utilisateur Vectra, accédez à Paramètres > Cognito Stream et modifiez la configuration de destination :

  • Sélectionnez l’Éditeur : JSON RAW

  • Définissez l’adresse IP ou le nom d’hôte du serveur (qui est l’hôte exécutant l’agent Log Analytics)

  • Définissez tout le port sur 29009 (ce port peut être modifié si nécessaire)

  • Enregistrer

  • Définissez les types de journaux (sélectionnez tous les types de journaux disponibles)

  • Dans le menu Paramètres, cliquez sur Enregistrer

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.