[Tidak digunakan lagi] Claroty melalui konektor Agen Warisan untuk Microsoft Azure Sentinel
Penting
Pengumpulan log dari banyak appliance dan perangkat sekarang didukung oleh Common Event Format (CEF) melalui AMA, Syslog melalui AMA, atau Log Kustom melalui konektor data AMA di Microsoft Sentinel. Untuk informasi selengkapnya, lihat Menemukan konektor data Microsoft Azure Sentinel Anda.
Konektor data Claroty menyediakan kemampuan untuk menyerap peristiwa Deteksi Ancaman Berkelanjutan dan Akses Jarak Jauh Aman ke Microsoft Sentinel.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | CommonSecurityLog (Claroty) |
| Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
10 Tujuan Teratas
ClarotyEvent
| where isnotempty(DstIpAddr)
| summarize count() by DstIpAddr
| top 10 by count_
Instruksi penginstalan vendor
Catatan
Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan ClarotyEvent yang disebarkan dengan Solusi Microsoft Sentinel.
- Konfigurasi agen Syslog Linux
Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan teruskan ke Microsoft Sentinel.
Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih
1.1 Memilih atau membuat komputer Linux
Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai proksi antara solusi keamanan Anda dan Microsoft Sentinel komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.
1.2 Menginstal kolektor CEF pada komputer Linux
Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF pada port 514 TCP.
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version.
- Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda.
Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Mengonfigurasi Claroty untuk mengirim log menggunakan CEF
Konfigurasikan penerusan log menggunakan CEF:
Navigasi ke bagian Syslog dari menu Konfigurasi.
Pilih + Tambahkan.
Dalam Dialog Tambahkan Syslog Baru tentukan IP Server Jarak Jauh, Port, Protokol, dan pilih Format - Pesan CEF.
Pilih Simpan untuk keluar dari dialog Tambahkan Syslog.
Validasi koneksi
Ikuti instruksi untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.
Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version
- Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda
Jalankan perintah berikut untuk memvalidasi konektivitas Anda:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.