Connecteur iboss pour Microsoft Sentinel

  • Article
  • 3 minutes de lecture

Le connecteur de données iboss vous permet de connecter naturellement votre instance de Threat Console à Microsoft Sentinel, et de l’enrichir à l’aide des journaux d’événements de l’URL iboss. Nos journaux sont transférés au format CEF (Common Event Format) sur Syslog, et la configuration demandée peut être effectuée sur la plateforme iboss sans utiliser de proxy. Tirez parti de notre connecteur pour recueillir des points de données critiques et obtenir des insights sur les menaces de sécurité.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics ibossUrlEvent
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par iboss

Exemples de requête

Journaux reçus de la semaine écoulée

ibossUrlEvent 
| where TimeGenerated > ago(7d)

Instructions d’installation du fournisseur

  1. Configurer une machine Linux proxy dédiée

Si vous utilisez l’environnement iboss gov ou si vous préférez transférer les journaux sur une machine Linux proxy dédiée, effectuez cette étape. Dans tous les autres cas, passez à l’étape 2.

1.1 Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.2 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme machine Linux proxy dédiée entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.3 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port TCP514.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0}{1}

  1. Transférer les journaux au format CEF

Définissez votre instance Threat Console pour qu’elle envoie des messages Syslog au format CEF à votre espace de travail Azure. Notez l’ID et la clé primaire de l’espace de travail figurant dans votre espace de travail Log Analytics (sélectionnez l’espace de travail dans le menu Espaces de travail Log Analytics sur le portail Azure. Sélectionnez ensuite Gestion des agents dans la section Paramètres).

  1. Accédez à Reporting & Analytics (Création de rapports et analytique) à l’intérieur de votre instance iboss Console.
  1. Sélectionnez Log Forwarding (Transfert de journaux) -> Forward From Reporter (Transférer à partir du rapporteur).
  1. Sélectionnez Actions -> Add Service (Ajouter un service).
  1. Basculez sur Microsoft Sentinel en tant que type de service, puis entrez l’ID et la clé primaire de votre espace de travail avec d’autres critères. Si une machine Linux proxy dédiée a été configuré, basculez sur Syslog en tant que type de service et configurez les paramètres pour qu’ils pointent vers votre machine Linux proxy dédiée.
  1. Cette configuration prend une à deux minutes.
  1. Sélectionnez votre service Microsoft Sentinel et vérifiez que l’état de la configuration de Sentinel est Réussi. Si une machine Linux proxy dédiée a été configurée, vous pouvez procéder à la validation de votre connexion
  1. Valider la connexion

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

20 minutes environ peuvent être nécessaires pour que la connexion envoie en streaming des données dans votre espace de travail.

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation (applicable uniquement si une machine Linux proxy dédiée a été configurée).

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.