Connecteur Tenable Identity Exposure pour Microsoft Sentinel
Le connecteur Tenable Identity Exposure permet aux indicateurs d’exposition, aux indicateurs d’attaque et aux journaux de flux de fin d’être ingérés dans Microsoft Sentinel. Les différents classeurs et analyseurs de données vous permettent de manipuler plus facilement les journaux et de superviser votre environnement Active Directory. Les modèles analytiques vous permettent d’automatiser les réponses concernant différents événements, expositions et attaques.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Alias de fonction Kusto | afad_parser |
| Table(s) Log Analytics | Tenable_IE_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Tenable |
Exemples de requête
Obtenir le nombre d’alertes déclenchées par chaque IoE
afad_parser
| where MessageType == 0
| summarize AlertCount = count() by Codename
Obtenir toutes les alertes IoE ayant une gravité supérieure à celle du seuil
let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser
| where MessageType == 0
| lookup kind=leftouter SeverityTable on Severity
| where Level >= ['threshold']
Obtenir toutes les alertes IoE des dernières 24 heures
afad_parser
| where MessageType == 0 and TimeGenerated > ago(1d)
Obtenir toutes les alertes IoE des 7 derniers jours
afad_parser
| where MessageType == 0 and TimeGenerated > ago(7d)
Obtenir toutes les alertes IoE des 30 derniers jours
afad_parser
| where MessageType == 0 and TimeGenerated > ago(30d)
Obtenir toutes les modifications du trailflow pour les dernières 24 heures
afad_parser
| where MessageType == 1 and TimeGenerated > ago(1d)
Obtenir toutes les modifications du trailflow pour les 7 derniers jours
afad_parser
| where MessageType == 1 and TimeGenerated > ago(7d)
Obtenir le nombre d’alertes déclenchées par chaque IoA
afad_parser
| where MessageType == 2
| summarize AlertCount = count() by Codename
Obtenir toutes les alertes IoA des 30 derniers jours
afad_parser
| where MessageType == 2 and TimeGenerated > ago(30d)
Prérequis
Pour intégrer Tenable Identity Exposure, vérifiez que vous disposez des éléments suivants :
- Accès à la configuration TenableIE : autorisations pour configurer le moteur d’alerte syslog
Instructions d’installation du fournisseur
Ce connecteur de données dépend de afad_parser basé sur une fonction Kusto pour fonctionner comme prévu, qui est déployé avec la solution Microsoft Sentinel.
Configurer le serveur Syslog
Tout d’abord, vous avez besoin d’un serveur Syslog Linux auquel TenableIE enverra les journaux. Généralement, vous pouvez exécuter rsyslog sur Ubuntu. Vous pouvez ensuite configurer ce serveur comme vous le souhaitez, mais il est recommandé de pouvoir générer des journaux TenableIE dans un fichier distinct.
Configurez rsyslog pour accepter les journaux provenant de votre adresse IP TenableIE :
sudo -i # Set TenableIE source IP address export TENABLE_IE_IP={Enter your IP address} # Create rsyslog configuration file cat > /etc/rsyslog.d/80-tenable.conf << EOF \$ModLoad imudp \$UDPServerRun 514 \$ModLoad imtcp \$InputTCPServerRun 514 \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n" \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log" *.* ?remote-incoming-logs;MsgTemplate EOF # Restart rsyslog systemctl restart rsyslogInstaller et intégrer l'agent Microsoft pour Linux
L’agent OMS recevra les événements syslog TenableIE et les publiera dans Microsoft Sentinel.
Vérifier les journaux de l’agent sur le serveur Syslog
tail -f /var/opt/microsoft/omsagent/log/omsagent.logConfigurer TenableIE pour envoyer des journaux à votre serveur Syslog
Sur votre portail TenableIE, accédez à Système, Configuration, puis Syslog. À partir de là, vous pouvez créer une alerte Syslog destinée à votre serveur Syslog.
Lorsque vous avez terminé, vérifiez que les journaux sont correctement collectés sur votre serveur dans un fichier distinct (pour ce faire, vous pouvez utiliser le bouton Tester la configuration dans la configuration d’alerte Syslog dans TenableIE). Si vous avez utilisé le modèle de démarrage rapide, le serveur Syslog écoute par défaut le port 514 dans UDP et 1514 dans TCP, sans TLS.
Configurer les journaux personnalisés
Configurez l’agent pour collecter les journaux.
Dans Microsoft Sentinel, accédez à Configuration ->Paramètres ->Paramètres de l’espace de travail ->Journaux personnalisés.
Cliquez sur Ajouter un journal personnalisé.
Chargez un exemple de fichier Syslog TenableIE.log à partir de la machine Linux exécutant le serveur Syslog, puis cliquez sur Suivant
Définissez le délimiteur d’enregistrement sur Nouvelle ligne si ce n’est pas déjà le cas, puis cliquez sur Suivant.
Sélectionnez Linux, puis entrez le chemin d’accès du fichier Syslog, cliquez sur +, puis sur Suivant. L’emplacement par défaut du fichier est
/var/log/TenableIE.logsi vous disposez d’une version Tenable <3.1.0, vous devez également ajouter cet emplacement de fichier Linux/var/log/AlsidForAD.log.Définissez le Nom sur Tenable_IE_CL (Azure ajoute automatiquement _CL à la fin du nom. Il ne doit y en avoir qu’un. Assurez-vous que le nom n’est pas Tenable_IE_CL_CL).
Cliquez sur Suivant, vous verrez un résumé, puis cliquez sur Créer.
Vous n’avez plus qu’à l’utiliser !
Vous devriez maintenant être en mesure de recevoir des journaux dans la table Tenable_IE_CL, les données des journaux peuvent être analysées à l’aide de la fonction afad_parser(), utilisée par tous les exemples de requête, les workbooks et les modèles analytiques.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.