Megosztás a következőn keresztül:

Tenable Identity Exposure-összekötő a Microsoft Sentinelhez

  • Cikk

A Tenable Identity Exposure-összekötő lehetővé teszi az Expozíció mutatóinak, a támadási és a nyomvonalnaplóknak a Microsoft Sentinelbe való betöltését. A különböző munkakönyvek és adatelemzők megkönnyítik a naplók kezelését és az Active Directory-környezet figyelését. Az elemzési sablonok lehetővé teszik a különböző eseményekre, kitettségekre és támadásokra vonatkozó válaszok automatizálását.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Kusto függvény aliasa afad_parser
Log Analytics-tábla(ok) Tenable_IE_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Tartható

Példák lekérdezésekre

Az egyes IoE-k által aktivált riasztások számának lekérése

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Az összes olyan IoE-riasztás lekérése, amelynek súlyossága meghaladja a küszöbértéket

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Az elmúlt 24 óra összes IoE-riasztásának lekérése

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Az elmúlt 7 nap összes IoE-riasztásának lekérése

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Az elmúlt 30 nap összes IoE-riasztásának lekérése

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Az elmúlt 24 órában végrehajtott összes trailflow-módosítás lekérése

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Az elmúlt 7 nap összes trailflow-módosításának lekérése

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Az egyes IoA-k által aktivált riasztások számának lekérése

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Az elmúlt 30 nap összes IoA-riasztásának lekérése

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Előfeltételek

A Tenable Identity Exposure szolgáltatással való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • Hozzáférés a TenableIE-konfigurációhoz: Engedélyek a syslog riasztási motor konfigurálásához

Szállító telepítési útmutatója

Ez az adatösszekötő egy Kusto-függvényen alapuló afad_parser függ, hogy a Microsoft Sentinel-megoldással üzembe helyezett elvárt módon működjön.

  1. A Syslog-kiszolgáló konfigurálása

    Először szüksége lesz egy linuxos Syslog-kiszolgálóra , amelybe a TenableIE naplókat küld. Az rsyslog általában az Ubuntu-on futtatható. Ezután tetszés szerint konfigurálhatja ezt a kiszolgálót, de ajánlott a TenableIE-naplók külön fájlban való kimenete.

    Konfigurálja az rsyslogot a TenableIE IP-címéről származó naplók elfogadására:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. A Linuxhoz készült Microsoft-ügynök telepítése és előkészítése

    Az OMS-ügynök megkapja a TenableIE syslog eseményeit, és közzéteszi azt a Microsoft Sentinelben.

  3. Ügynöknaplók ellenőrzése a Syslog-kiszolgálón

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. A TenableIE konfigurálása naplók syslog-kiszolgálóra való küldéséhez

    A TenableIE portálon lépjen a Rendszer, a Konfiguráció, majd a Syslog elemre. Innen létrehozhat egy új Syslog-riasztást a Syslog-kiszolgáló felé.

    Ha ez megtörtént, ellenőrizze, hogy a naplók megfelelően vannak-e összegyűjtve a kiszolgálón egy külön fájlban (ehhez használhatja a Konfiguráció tesztelése gombot a TenableIE Syslog-riasztás konfigurációjában). Ha a gyorsútmutató-sablont használta, a Syslog-kiszolgáló alapértelmezés szerint az 514-as portot figyeli az UDP-ben és az 1514-et TCP-ben, TLS nélkül.

  5. Az egyéni naplók konfigurálása

Konfigurálja az ügynököt a naplók gyűjtésére.

  1. A Microsoft Sentinelben válassza a Konfiguráció –Beállítások –>>Munkaterület beállításai –>Egyéni naplók lehetőséget.

  2. Kattintson az Egyéni napló hozzáadása elemre.

  3. Töltsön fel egy TenableIE.log Syslog-fájlt a Syslog-kiszolgálót futtató Linux-gépről, és kattintson a Tovább gombra

  4. Ha még nincs ilyen eset, állítsa a rekordelválasztót Új sorra, és kattintson a Tovább gombra.

  5. Válassza a Linuxot, és adja meg a Syslog fájl elérési útját, majd kattintson a Tovább gombra+. A fájl /var/log/TenableIE.log alapértelmezett helye, ha a Tenable 3.1.0-s verziója <van, akkor ezt a linuxos fájlhelyet /var/log/AlsidForAD.logis hozzá kell adnia.

  6. A név beállítása Tenable_IE_CL (az Azure automatikusan hozzáadja _CL a név végén, csak egynek kell lennie, győződjön meg arról, hogy a név nem Tenable_IE_CL_CL).

  7. Kattintson a Tovább gombra, megjelenik egy önéletrajz, majd kattintson a Létrehozás gombra.

  8. Jó munkát!

Most már képesnek kell lennie a naplók fogadására a Tenable_IE_CL táblában, a naplók adatai elemezhetők az afad_parser() függvénnyel, amelyet az összes lekérdezésminta, munkafüzet és elemzési sablon használ.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.