Connecteur Vectra AI Detect pour Microsoft Sentinel
Le connecteur AI Vectra Detect permet aux utilisateurs de connecter les journaux Vectra Detect à Microsoft Sentinel pour afficher des tableaux de bord, créer des alertes personnalisées et améliorer les investigations. Cela donne aux utilisateurs de nouveaux insights sur le réseau de leur organisation et améliore leurs capacités en termes d’opération de sécurité.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | CommonSecurityLog (AIVectraDetect) |
Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | Vectra AI |
Exemples de requête
Tous les journaux d’activité
CommonSecurityLog
| where DeviceVendor == "Vectra Networks"
| where DeviceProduct == "X Series"
| sort by TimeGenerated
Nombre d’hôtes par gravité
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| extend status = case(FlexNumber1>=50 and FlexNumber2<50, "High", FlexNumber1>=50 and FlexNumber2>=50, "Critical", FlexNumber1<50 and FlexNumber2>=50, "Medium", FlexNumber1>0 and FlexNumber1<50 and FlexNumber2>0 and FlexNumber2<50,"Low", "Other")
| where status != "Other"
| summarize Count = count() by status
Liste des pires contrevenants
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| sort by FlexNumber1 desc, FlexNumber2 desc
| limit 10
| project row_number(), src, SourceIP, FlexNumber1 , FlexNumber2, TimeGenerated
| project-rename Sr_No = Column1, Source = src, Source_IP = SourceIP, Threat = FlexNumber1, Certainty = FlexNumber2, Latest_Detection = TimeGenerated
Top 10 des types de détection
CommonSecurityLog
| extend ExternalID = coalesce(column_ifexists("ExtID", ""), tostring(ExternalID), "")
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID !in ("health", "audit", "campaigns", "hsc", "asc") and isnotnull(ExternalID)
| summarize Count = count() by DeviceEventClassID
| top 10 by Count desc
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 sur TCP, UDP ou TLS.
- Vérifiez que Python est installé sur votre ordinateur à l’aide de la commande suivante : python --version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Transférer les journaux AI Vectra Detect à l’agent Syslog au format CEF
Configurez l’agent Vectra (série X) pour transférer les messages Syslog au format CEF à votre espace de travail Microsoft Sentinel par le biais de l’agent Syslog.
À partir de l’interface utilisateur Vectra, accédez à Paramètres > Notifications, puis modifiez la configuration Syslog. Suivez les instructions ci-dessous pour configurer la connexion :
Ajouter une nouvelle destination (qui est l’hôte sur lequel l’agent Syslog Microsoft Sentinel s’exécute)
Définissez le port sur 514
Définissez le protocole sur UDP
Définissez le format sur CEF
Définir les types de journaux (sélectionner tous les types de journaux disponibles)
Dans le menu Paramètres, cliquez sur Enregistrer
L’utilisateur peut cliquer sur le bouton Test pour forcer l’envoi des événements de test.
Pour plus d’informations, reportez-vous au Guide du Syslog Cognito Detect que vous pouvez télécharger à partir de la page des ressources dans l’interface utilisateur de Detect.
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que Python est installé sur votre ordinateur à l’aide de la commande suivante : python --version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.