[Elavult] AI Vectra Stream a Microsoft Sentinel örökölt ügynök-összekötőjével
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
Az AI Vectra Stream-összekötő lehetővé teszi a Vectra-érzékelők által a hálózaton és a felhőben gyűjtött hálózati metaadatok küldését a Microsoft Sentinelnek
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | VectraStream_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Vectra AI |
Példák lekérdezésekre
Az összes DNS-lekérdezés listázása
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
DNS-kérelmek száma típusonként
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
A lekérdezés első 10 része nem létező tartományba
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Nem rövid élettartamú Diffie-Hellman kulcscserét használó gazdagépek és webhelyek
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Előfeltételek
Ha az AI Vectra Streamet örökölt ügynökkel szeretné integrálni, győződjön meg arról, hogy a következőkkel rendelkezik:
- Vectra AI Brain: konfigurálva kell lennie a Stream metaadatainak JSON-ban való exportálásához
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a várt VectraStreamnek megfelelően működik, amelyet a Microsoft Sentinel-megoldással helyez üzembe.
- Az ügynök telepítése és előkészítése Linuxhoz
Telepítse a Linux-ügynököt a Sperate Linux-példányra.
A naplók csak Linux-ügynököktől gyűjthetők.
- A gyűjtendő naplók konfigurálása
Kövesse az alábbi konfigurációs lépéseket a Vectra Stream metaadatainak a Microsoft Sentinelbe való lekéréséhez. A Log Analytics-ügynök segítségével egyéni JSON-t küldhet az Azure Monitorba, lehetővé téve a metaadatok tárolását egy egyéni táblában. További információkért tekintse meg az Azure Monitor dokumentációját.
Töltse le a log analytics-ügynök konfigurációs fájlját: VectraStream.conf (a Vectra-megoldás Összekötő mappájában található: https://aka.ms/sentinel-aivectrastream-conf).
Jelentkezzen be arra a kiszolgálóra, ahol telepítette az Azure Log Analytics-ügynököt.
Másolja a VectraStream.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába.
A VectraStream.conf szerkesztése az alábbiak szerint:
i. konfiguráljon egy másik portot, amelybe szükség esetén adatokat küldhet. Az alapértelmezett port a 29009.
ii. cserélje le workspace_id a munkaterület-azonosító valós értékére.
Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart
A Vectra AI Stream konfigurálása és csatlakoztatása
Konfigurálja a Vectra AI Braint, hogy JSON formátumban továbbítsa a metaadatokat a Microsoft Sentinel-munkaterületre a Log Analytics-ügynökön keresztül.
A Vectra felhasználói felületén keresse meg a Beállítások > Cognito Streamet, és szerkessze a célkonfigurációt:
Publisher: RAW JSON kiválasztása
Állítsa be a kiszolgáló IP-címét vagy állomásnevét (amely a Log Analytics-ügynököt futtató gazdagép)
Állítsa az összes portot 29009-re (szükség esetén ez a port módosítható)
Mentés
Naplótípusok beállítása (Válassza ki az összes elérhető naplótípust)
Kattintson a Mentés gombra.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.