vArmour Application Controller via le connecteur Agent hérité pour Microsoft Sentinel

  • Article

vArmour réduit les risques opérationnels et augmente la cyber-résilience en visualisant et en contrôlant les relations des applications au sein de l’entreprise. Ce connecteur vArmour permet la diffusion en continu d’alertes de violation du contrôleur d’application dans Microsoft Sentinel, ce qui vous permet de tirer parti de la recherche et de la corrélation, des alertes et de l’enrichissement des informations sur les menaces pour chaque journal.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (vArmour)
Prise en charge des règles de collecte des données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Réseaux vArmour

Exemples de requête

10 principales violations d’application à application

CommonSecurityLog

| where DeviceVendor == "vArmour"

| where DeviceProduct == "AC"

| where Activity == "POLICY_VIOLATION"

| extend AppNameSrcDstPair = extract_all("AppName=;(\\w+)", AdditionalExtensions)

| summarize count() by tostring(AppNameSrcDstPair)

| top 10 by count_

10 principaux noms de stratégie correspondant aux violations

CommonSecurityLog

| where DeviceVendor == "vArmour"

| where DeviceProduct == "AC"

| where Activity == "POLICY_VIOLATION"

| summarize count() by DeviceCustomString1

| top 10 by count_ desc

10 principales adresses IP source générant des violations

CommonSecurityLog

| where DeviceVendor == "vArmour"

| where DeviceProduct == "AC"

| where Activity == "POLICY_VIOLATION"

| summarize count() by SourceIP

| top 10 by count_

10 principales adresses IP de destination générant des violations

CommonSecurityLog

| where DeviceVendor == "vArmour"

| where DeviceProduct == "AC"

| where Activity == "POLICY_VIOLATION"

| summarize count() by DestinationIP

| top 10 by count_

10 principaux protocoles d’application correspondant aux violations

CommonSecurityLog

| where DeviceVendor == "vArmour"

| where DeviceProduct == "AC"

| where Activity == "POLICY_VIOLATION"

| summarize count() by ApplicationProtocol

| top 10 by count_

Instructions d’installation du fournisseur

  1. Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Configurer le contrôleur d’application vArmour pour transférer les journaux CEF (Common Event Format) à l’agent Syslog

Envoyer des messages Syslog au format CEF à l’ordinateur proxy. Veillez à envoyer les journaux vers le port TCP 514 sur l’adresse IP de l’ordinateur.

2.1 Téléchargez le guide de l’utilisateur du contrôleur d’application vArmour

Téléchargez le guide de l’utilisateur à partir de https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide.

2.2 Configurez le contrôleur d’application pour envoyer des violations de stratégie

Dans le guide de l’utilisateur, reportez-vous à « Configuration de Syslog pour la surveillance et les violations » et suivez les étapes 1 à 3.

  1. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour valider votre connectivité :

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.