Connecteur Awake Security pour Microsoft Sentinel

  • Article

Le connecteur CEF Awake Security permet aux utilisateurs d’envoyer des correspondances de modèle de détection depuis la plateforme de sécurité Awake sur Microsoft Sentinel. Résolvez rapidement les menaces grâce à la puissance de la détection et de la réponse réseau, et accélérez les investigations avec une visibilité approfondie, en particulier sur les entités non managées telles que les utilisateurs, les appareils et les applications sur votre réseau. Le connecteur permet également la création d’alertes, d’incidents, de classeurs et de notebooks personnalisés, axés sur la sécurité réseau, qui s’alignent sur vos workflows d’opérations de sécurité existants.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (AwakeSecurity)
Prise en charge des règles de collecte des données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Arista - Awake Security

Exemples de requête

5 principales correspondances du modèle contradictoire par gravité

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

5 premiers appareils par évaluation des risques d’appareil

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Instructions d’installation du fournisseur

  1. Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Transférez les résultats de correspondance du modèle contradictoire Awake à un collecteur CEF.

Effectuez les étapes suivantes pour transférer les résultats de correspondance du modèle contradictoire Awake à un collecteur CEF écoutant sur le port TCP 514 à l’adresse IP 192.168.0.1 :

  • Accédez à la page Detection Management Skills (Compétences de gestion de la détection) dans l’interface utilisateur Awake.
  • Cliquez sur + Add New Skill (+ Ajouter une nouvelle compétence).
  • Définissez le champ Expression sur

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • Définissez le champ Title (Titre) sur un nom descriptif, par exemple

Transfert du résultat de correspondance du modèle contradictoire Awake sur Microsoft Sentinel.

  • Définissez l’identificateur de référence sur quelque chose de facilement détectable, par exemple

integrations.cef.sentinel-forwarder

  • Cliquez sur Enregistrer.

Remarque : Dans les minutes qui suivent l’enregistrement de la définition et des autres champs, le système commence à envoyer de nouveaux résultats de correspondance de modèle au collecteur d’événements CEF, à mesure qu’ils sont détectés.

Pour plus d’informations, reportez-vous à la page Adding a Security Information and Event Management Push Integration (Ajout d’une intégration pour envoi (push) d’informations de sécurité et de gestion des événements) dans la documentation d’aide de l’interface utilisateur d’Awake.

  1. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour valider votre connectivité :

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.