[Déconseillé] Connecteur Claroty via l’ancien agent pour Microsoft Sentinel
Important
La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.
Le connecteur de données Claroty permet d’ingérer des événements de détection continue des menaces et d’accès à distance sécurisé dans Microsoft Sentinel.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog (Claroty) |
| Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 destinations principales
ClarotyEvent
| where isnotempty(DstIpAddr)
| summarize count() by DstIpAddr
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu ClarotyEvent qui est déployé avec la solution Microsoft Sentinel.
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurer Claroty pour envoyer des journaux d’activité au format CEF
Configurez le transfert de journaux au format CEF :
Accédez à la section Syslog du menu Configuration.
Sélectionnez +Ajouter.
Dans la boîte de dialogue Ajouter un nouveau Syslog, spécifiez l’adresse IP, le port, puis le protocole du serveur distant, puis sélectionnez Format de message - CEF.
Choisissez Enregistrer pour quitter la boîte de dialogue Ajouter Syslog.
Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.