Megosztás a következőn keresztül:


[Elavult] Az Illumio Core a Microsoft Sentinel örökölt ügynök-összekötőjével

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

Az Illumio Core adatösszekötő lehetővé teszi az Illumio Core-naplók Microsoft Sentinelbe való betöltését.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) CommonSecurityLog (IllumioCore)
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: Microsoft

Példák lekérdezésekre

A 10 legfontosabb eseménytípus

IllumioCoreEvent

| where isnotempty(EventType)
 
| summarize count() by EventType

| top 10 by count_

Szállító telepítési útmutatója

MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Logs panelt, kattintson a Functions elemre, és keresse meg az IllumioCoreEvent aliast, és töltse be a függvénykódot, vagy kattintson ide. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után, és leképezheti az Illumio Core-eseményeket a Microsoft Sentinel Információs Modellbe (ASIM).

  1. Linux Syslog-ügynök konfigurálása

Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.

Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva

1.1 Linux-gép kiválasztása vagy létrehozása

Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel a biztonsági megoldás és a Microsoft Sentinel közötti proxyként használ, és ez a gép a helyszíni környezetben, az Azure-ban vagy más felhőkben is lehet.

1.2 A CEF-gyűjtő telepítése a Linux-gépen

Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.

  1. Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.

Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Az Ilumio Core konfigurálása naplók CEF használatával történő küldéséhez

2.1 Eseményformátum konfigurálása

  1. A PCE webkonzol menüjében válassza a Beállítások > eseménybeállítások lehetőséget az aktuális beállítások megtekintéséhez.

  2. A beállítások módosításához kattintson a Szerkesztés gombra.

  3. Eseményformátum beállítása CEF értékre.

  4. (Nem kötelező) Konfigurálja az esemény súlyosságát és a megőrzési időtartamot.

2.2 Eseménytovábbítás konfigurálása külső syslog-kiszolgálóra

  1. A PCE webkonzol menüjében válassza a Beállítások > eseménybeállítások lehetőséget.

  2. Kattintson a Hozzáadás gombra.

  3. Kattintson az Adattár hozzáadása elemre.

  4. Töltse ki az Adattár hozzáadása párbeszédpanelt.

  5. Kattintson az OK gombra az eseménytovábbítási konfiguráció mentéséhez.

  6. Kapcsolat ellenőrzése

Kövesse az utasításokat a kapcsolat ellenőrzéséhez:

Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.

Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.

Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:

  1. Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen

Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. A gép védelme

Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja

További információ >

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.