Konektor AI Vectra Stream untuk Microsoft Azure Sentinel
Konektor AI Vectra Stream memungkinkan untuk mengirim Metadata Jaringan yang dikumpulkan oleh Sensor Vectra di seluruh Jaringan dan Cloud ke Microsoft Azure Sentinel
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | VectraStream_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Vectra AI |
Kueri sampel
Mencantumkan semua Kueri DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Jumlah permintaan DNS per jenis
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
10 kueri teratas ke domain yang tidak ada
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Situs host dan Web menggunakan pertukaran kunci Diffie-Hellman non-sementara
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Prasyarat
Untuk berintegrasi dengan AI Vectra Stream, pastikan Anda memiliki:
- Otak Vectra AI: harus dikonfigurasi untuk mengekspor metadata Stream di JSON
Instruksi penginstalan vendor
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan VectraStream yang disebarkan dengan Solusi Microsoft Sentinel.
- Instal dan onboard agen untuk Linux
Instal agen Linux pada instans Linux sperate.
Log hanya dikumpulkan dari agen Linux .
- Konfigurasikan log yang akan dikumpulkan
Ikuti langkah-langkah konfigurasi di bawah ini untuk mendapatkan metadata Vectra Stream ke Microsoft Azure Sentinel. Agen Analitik Log dimanfaat untuk mengirim JSON kustom ke Azure Monitor, memungkinkan penyimpanan metadata ke dalam tabel kustom. Untuk informasi selengkapnya, lihat Dokumentasi Azure Monitor.
Unduh file konfigurasi untuk agen analitik log: VectraStream.conf (terletak di folder Koneksi or dalam solusi Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Masuk ke server tempat Anda telah menginstal agen Azure Log Analytics.
Salin VectraStream.conf ke folder /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edit VectraStream.conf sebagai berikut:
i. konfigurasikan port alternatif untuk mengirim data, jika diinginkan. Port default adalah 29009.
ii. ganti workspace_id dengan nilai nyata ID Ruang Kerja Anda.
Simpan perubahan dan mulai ulang agen Azure Log Analytics untuk layanan Linux dengan perintah berikut: sudo /opt/microsoft/omsagent/bin/service_control restart
Mengonfigurasi dan menyambungkan Vectra AI Stream
Konfigurasikan Vectra AI Brain untuk meneruskan metadata Stream dalam format JSON ke ruang kerja Microsoft Azure Sentinel Anda melalui Agen Analitik Log.
Dari UI Vectra, navigasikan ke Pengaturan > Cognito Stream dan Edit konfigurasi tujuan:
Pilih Publisher: RAW JSON
Atur IP server atau nama host (yang merupakan host yang menjalankan Agen Analitik Log)
Atur semua port ke 29009 (port ini dapat dimodifikasi jika diperlukan)
Simpan
Atur Jenis log (Pilih semua jenis log yang tersedia)
Klik Simpan
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.