[Elavult] Éber biztonság örökölt ügynök összekötőn keresztül a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
Az Awake Security CEF-összekötő lehetővé teszi, hogy a felhasználók észlelési modell egyezéseket küldjenek az Ébrenlét biztonsági platformról a Microsoft Sentinelnek. A fenyegetések gyors elhárítása a hálózatészlelés és a reagálás erejével, valamint a vizsgálatok felgyorsítása, különösen a nem felügyelt entitások, például a felhasználók, az eszközök és az alkalmazások számára a hálózaton. Az összekötő lehetővé teszi a hálózati biztonságra összpontosító egyéni riasztások, incidensek, munkafüzetek és jegyzetfüzetek létrehozását is, amelyek megfelelnek a meglévő biztonsági üzemeltetési munkafolyamatoknak.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
Összekötő attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | CommonSecurityLog (AwakeSecurity) |
Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
Támogatja: | Arista - Ébren biztonság |
Példák lekérdezésekre
Az első 5 adversarial modell egyezése súlyosság szerint
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
Az 5 legjobb eszköz eszközkockázati pontszáma
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
Szállító telepítési útmutatója
- Linux Syslog-ügynök konfigurálása
Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.
Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva
1.1 Linux-gép kiválasztása vagy létrehozása
Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként használ, és ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.
1.2 A CEF-gyűjtő telepítése a Linux-gépen
Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.
- Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.
Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Forward Awake Adversarial Model match results to a CEF collector.
Hajtsa végre az alábbi lépéseket az Awake Adversarial Model találatainak továbbításához egy CEF-gyűjtőnek, amely az 514-ös TCP-portot figyeli az 192.168.0.1 IP-címen:
- Lépjen az Észleléskezelési képességek lapra az Ébrenlét felhasználói felületen.
- Kattintson az + Új képesség hozzáadása elemre.
- A Kifejezés mező beállítása a következőre:
integrations.cef.tcp { cél: "192.168.0.1", port: 514, secure: false, severity: Warning }
- A Cím mező beállítása leíró névre, például:
Forward Awake Adversarial Model match result to Microsoft Sentinel.
- A referenciaazonosító beállítása könnyen felderíthetőre, például:
integrations.cef.sentinel-forwarder
- Kattintson a Mentés gombra.
Megjegyzés: A definíció és más mezők mentését követő néhány percen belül a rendszer megkezdi az új modellegyezések eredményeinek küldését a CEF-események gyűjtőjének, amint észleli őket.
További információ: Biztonsági információ és eseménykezelési leküldéses integráció hozzáadása oldal az Awake felhasználói felületén található súgódokumentációból.
- Kapcsolat ellenőrzése
Kövesse az utasításokat a kapcsolat ellenőrzéséhez:
Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.
Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.
Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:
- Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
- Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen
Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- A gép védelme
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.