Megosztás a következőn keresztül:

[Elavult] WithSecure Elements via connector for Microsoft Sentinel

  • Cikk

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

A WithSecure Elements egy egységes felhőalapú kiberbiztonsági platform. A WithSecure Elements összekötőn keresztül a Microsoft Sentinelhez való csatlakoztatásával a biztonsági események a syslogon keresztül a Common Event Format (CEF) formátumban fogadhatók. Az "Elements Connector" helyszíni vagy felhőbeli üzembe helyezését igényli. A Common Event Format (CEF) natív keresési és korrelációs, riasztási és fenyegetésintelligencia-bővítést biztosít az egyes adatnaplókhoz.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) CommonSecurityLog (WithSecure Events)
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: WithSecure

Példák lekérdezésekre

Minden napló

CommonSecurityLog

| where DeviceVendor == "WithSecure™"

| sort by TimeGenerated

Szállító telepítési útmutatója

  1. Linux Syslog-ügynök konfigurálása

Telepítse és konfigurálja a Linux-ügynököt, hogy összegyűjtse a Common Event Format (CEF) Syslog-üzeneteket, és továbbítsa őket a Microsoft Sentinelnek.

Figyelje meg, hogy az összes régió adatai a kijelölt munkaterületen lesznek tárolva

1.1 Linux-gép kiválasztása vagy létrehozása

Válasszon vagy hozzon létre egy Linux rendszerű gépet, amelyet a Microsoft Sentinel proxyként fog használni a WithSecurity-megoldás és a Sentinel között. A gép lehet helyszíni környezet, Microsoft Azure vagy más felhőalapú.

A Linuxnak rendelkeznie syslog-ng kell és python/python3 telepítenie kell.

1.2 A CEF-gyűjtő telepítése a Linux-gépen

Telepítse a Microsoft Monitoring Agentet a Linux rendszerű gépére, és konfigurálja a gépet a szükséges port figyelésére, és küldje el az üzeneteket a Microsoft Sentinel-munkaterületre. A CEF-gyűjtő cef-üzeneteket gyűjt az 514-ös TCP-porton.

  1. Győződjön meg arról, hogy a python a gépén a következő paranccsal van telepítve: python -version.
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen.

Futtassa a következő parancsot a CEF-gyűjtő telepítéséhez és alkalmazásához:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

Python3 esetén használja az alábbi parancsot:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}

  1. Adatok továbbítása a WithSecure Elements-összekötőből a Syslog-ügynökbe

Ez azt ismerteti, hogyan telepítheti és konfigurálhatja lépésről lépésre az Elements Connectort.

2.1 Összekötő-előfizetés megrendelése

Ha az összekötő-előfizetés még nem lett megrendelve, lépjen az EPP-be az Elements Portalon. Ezután lépjen a Letöltések elemre, és az Elemek összekötő szakaszában kattintson az "Előfizetési kulcs létrehozása" gombra. Az Előfizetések területen ellenőrizheti az előfizetési kulcsát.

2.2 Összekötő letöltése

Nyissa meg a Letöltések lehetőséget, és a WithSecure Elements Connector szakaszban válassza ki a megfelelő telepítőt.

2.3 Felügyeleti API-kulcs létrehozása

Amikor az EPP-ben megnyitja a fiókbeállításokat a jobb felső sarokban. Ezután válassza a Felügyeleti API-kulcs lekérése lehetőséget. Ha a kulcs korábban lett létrehozva, az ott is olvasható.

2.4 Összekötő telepítése

Az Elements Connector telepítéséhez kövesse az Elements Connector Docs parancsot.

2.5 Eseménytovábbítás konfigurálása

Ha az API-hozzáférés nincs konfigurálva a telepítés során, kövesse az API-hozzáférés konfigurálását az Elements Connectorhoz. Ezután nyissa meg az EPP-t, majd a Profilok lehetőséget, majd használja az Összekötőkhöz lehetőséget, ahol láthatja az összekötőprofilokat. Új profil létrehozása (vagy meglévő, nem írásvédett profil szerkesztése). Az eseménytovábbítás lehetővé teszi. SIEM rendszer címe: 127.0.0.1:514. Állítsa be a formátumot a Common Event Format (Gyakori eseményformátum) értékre. A protokoll TCP. Mentse a profilt, és rendelje hozzá az Elemek összekötőhöz az Eszközök lapon.

  1. Kapcsolat ellenőrzése

Kövesse az utasításokat a kapcsolat ellenőrzéséhez:

Nyissa meg a Log Analyticst annak ellenőrzéséhez, hogy a naplók a CommonSecurityLog sémával érkeznek-e.

Ez körülbelül 20 percet vehet igénybe, amíg a kapcsolat adatokat továbbít a munkaterületre.

Ha a naplók nem érkeztek meg, futtassa a következő kapcsolatérvényesítési szkriptet:

  1. Győződjön meg arról, hogy a számítógépen a Python a következő paranccsal található: python -version
  1. Emelt szintű engedélyekkel (sudo) kell rendelkeznie a gépen

Futtassa a következő parancsot a kapcsolat ellenőrzéséhez:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

Python3 esetén használja az alábbi parancsot:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}

  1. A gép védelme

Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja

További információ >

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.