Megosztás a következőn keresztül:


[Elavult] AI Vectra Stream a Microsoft Sentinel örökölt ügynök-összekötőjével

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

Az AI Vectra Stream-összekötő lehetővé teszi a Vectra-érzékelők által a hálózaton és a felhőben gyűjtött hálózati metaadatok küldését a Microsoft Sentinelnek

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) VectraStream_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Vectra AI

Példák lekérdezésekre

Az összes DNS-lekérdezés listázása

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

DNS-kérelmek száma típusonként

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by qtype_name

A lekérdezés első 10 része nem létező tartományba

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

Nem rövid élettartamú Diffie-Hellman kulcscserét használó gazdagépek és webhelyek

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

Előfeltételek

Ha az AI Vectra Streamet örökölt ügynökkel szeretné integrálni, győződjön meg arról, hogy a következőkkel rendelkezik:

  • Vectra AI Brain: konfigurálva kell lennie a Stream metaadatainak JSON-ban való exportálásához

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a várt VectraStreamnek megfelelően működik, amelyet a Microsoft Sentinel-megoldással helyez üzembe.

  1. Az ügynök telepítése és előkészítése Linuxhoz

Telepítse a Linux-ügynököt a Sperate Linux-példányra.

A naplók csak Linux-ügynököktől gyűjthetők.

  1. A gyűjtendő naplók konfigurálása

Kövesse az alábbi konfigurációs lépéseket a Vectra Stream metaadatainak a Microsoft Sentinelbe való lekéréséhez. A Log Analytics-ügynök segítségével egyéni JSON-t küldhet az Azure Monitorba, lehetővé téve a metaadatok tárolását egy egyéni táblában. További információkért tekintse meg az Azure Monitor dokumentációját.

  1. Töltse le a log analytics-ügynök konfigurációs fájlját: VectraStream.conf (a Vectra-megoldás Összekötő mappájában található: https://aka.ms/sentinel-aivectrastream-conf).

  2. Jelentkezzen be arra a kiszolgálóra, ahol telepítette az Azure Log Analytics-ügynököt.

  3. Másolja a VectraStream.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába.

  4. A VectraStream.conf szerkesztése az alábbiak szerint:

    i. konfiguráljon egy másik portot, amelybe szükség esetén adatokat küldhet. Az alapértelmezett port a 29009.

    ii. cserélje le workspace_id a munkaterület-azonosító valós értékére.

  5. Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. A Vectra AI Stream konfigurálása és csatlakoztatása

Konfigurálja a Vectra AI Braint, hogy JSON formátumban továbbítsa a metaadatokat a Microsoft Sentinel-munkaterületre a Log Analytics-ügynökön keresztül.

A Vectra felhasználói felületén keresse meg a Beállítások > Cognito Streamet, és szerkessze a célkonfigurációt:

  • Publisher: RAW JSON kiválasztása

  • Állítsa be a kiszolgáló IP-címét vagy állomásnevét (amely a Log Analytics-ügynököt futtató gazdagép)

  • Állítsa az összes portot 29009-re (szükség esetén ez a port módosítható)

  • Mentés

  • Naplótípusok beállítása (Válassza ki az összes elérhető naplótípust)

  • Kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.