Connecteur UTPP Morphisec pour Microsoft Sentinel
Intégrez les insights vitaux de vos produits de sécurité au connecteur de données Morphisec pour Microsoft Sentinel et développez vos fonctionnalités analytiques avec la recherche et la corrélation, la veille des menaces et les alertes personnalisées. Le connecteur de données Morphisec offre une visibilité sur la plupart des menaces avancées actuelles, telles que les attaques sans fichier sophistiquées, les codes malveillants exploitant une faille de sécurité dans la mémoire et les attaques de type zero-day. Grâce à une vue unique et interproduit, vous pouvez prendre des décisions en temps réel et reposant sur des données pour protéger vos ressources les plus importantes
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| URL de fonction Kusto | https://aka.ms/sentinel-morphisecutpp-parser |
| Table(s) Log Analytics | CommonSecurityLog (Morphisec) |
| Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Morphisec |
Exemples de requête
Nombre de menaces par hôte
Morphisec
| summarize Times_Attacked=count() by SourceHostName
Nombre de menaces par nom d’utilisateur
Morphisec
| summarize Times_Attacked=count() by SourceUserName
Menaces à gravité élevée
Morphisec
| where toint( LogSeverity) > 7
| order by TimeGenerated
Instructions d’installation du fournisseur
Ces requêtes et classeurs dépendent des fonctions Kusto basées sur Kusto pour fonctionner comme prévu. Suivez les étapes pour utiliser l’alias de fonctions Kusto « Morphisec » dans les requêtes et les classeurs. Suivez les étapes pour obtenir cette fonction Kusto.
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui va servir de proxy à Microsoft Sentinel entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Transférer les journaux d’activité au format CEF vers l'agent Syslog
Configurez votre solution de sécurité de façon à pouvoir envoyer des messages Syslog au format CEF à la machine proxy. Veillez à envoyer les journaux au port TCP 514 à l’adresse IP de la machine.
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.