[Déconseillé] WithSecure Elements via le connecteur pour Microsoft Sentinel
Important
La collecte de journaux dans un grand nombre d’appliances et d’appareils est désormais prise en charge par le CEF (Common Event Format) via AMA, Syslog via AMA ou les journaux personnalisés via le connecteur de données AMA dans Microsoft Sentinel. Pour plus d’informations, consultez Rechercher votre connecteur de données Microsoft Sentinel.
WithSecure Elements est une plateforme de cybersécurité unifiée basée sur le cloud. En connectant le connecteur WithSecure Elements à Microsoft Sentinel, les événements de sécurité peuvent être reçus au format CEF (Common Event Format) sur syslog. Cela nécessite de déployer « Elements Connector » localement ou dans le cloud. Le format CEF (Common Event Format) fournit une recherche et une corrélation natives, une création d’alertes et un enrichissement de la veille des menaces pour chaque journal de données.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | CommonSecurityLog (WithSecure Events) |
Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | WithSecure |
Exemples de requête
Tous les journaux d’activité
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux que Microsoft Sentinel utilisera comme proxy entre votre solution WithSecurity et Sentinel. La machine peut être un environnement local, basée sur Microsoft Azure ou sur un autre cloud.
Linux doit avoir
syslog-ng
etpython
/python3
installé.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Pour python3, utilisez la commande ci-dessous :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Transférer les données du connecteur WithSecure Elements à l’agent Syslog
Cela décrit comment installer et configurer le connecteur Elements étape par étape.
2.1 Commander l’abonnement au connecteur
Si l’abonnement au connecteur n’a pas encore été commandé, accédez à EPP dans Elements Portal. Ensuite, accédez à Télécharger et, dans la section Connecteur Elements, cliquez sur le bouton « Créer une clé d’abonnement ». Vous pouvez vérifier votre clé d’abonnement dans Abonnements.
2.2 Télécharger le connecteur
Accédez à Téléchargements, puis dans la section Connecteur WithSecure Elements, sélectionnez le programme d’installation approprié.
2.3 Créer une clé API de gestion
Lorsque vous êtes dans EPP, ouvrez les paramètres du compte en haut à droite. Sélectionnez ensuite Obtenir la clé API de gestion. Si la clé a déjà été créée, elle peut également être lue là-bas.
2.4 Installer le connecteur
Pour installer le connecteur Elements, suivez la documentation du connecteur Elements.
2.5 Configurer le transfert d’événements
Si l’accès à l’API n’a pas été configuré pendant l’installation, suivez Configuration de l’accès à l’API pour Elements Connector. Accédez ensuite à EPP, puis Profils, puis utilisez Pour Connector où vous pouvez voir les profils de connecteur. Créez un profil (ou modifiez un profil existant qui n’est pas en lecture seule). Dans Transfert d’événements, activez-le. Adresse du système SIEM : 127.0.0.1:514. Définissez le format sur Common Event Format (CEF). Le protocole est TCP. Enregistrez le profil et affectez-le au connecteur Elements sous l’onglet Appareils.
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Pour python3, utilisez la commande ci-dessous :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.