Konektor iboss untuk Microsoft Azure Sentinel
Konektor data iboss memungkinkan Anda menghubungkan Konsol Ancaman dengan lancar ke Microsoft Azure Sentinel dan memperkaya instans Anda dengan log peristiwa URL iboss. Log kami diteruskan dalam Common Event Format (CEF) melalui Syslog dan konfigurasi yang diperlukan dapat diselesaikan pada platform iboss tanpa menggunakan proksi. Manfaatkan konektor kami untuk mengumpulkan poin data penting dan mendapatkan wawasan tentang ancaman keamanan.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | ibossUrlEvent |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | iboss |
Kueri sampel
Log Diterima dari minggu lalu
ibossUrlEvent
| where TimeGenerated > ago(7d)
Instruksi penginstalan vendor
- Mengonfigurasi komputer Linux proksi khusus
Jika menggunakan lingkungan iboss gov atau ada preferensi untuk meneruskan log ke komputer Linux proksi khusus, lanjutkan dengan langkah ini. Dalam semua kasus lain, silakan lanjutkan ke langkah kedua.
1.1 Konfigurasi agen Linux Syslog
Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan meneruskannya ke Microsoft Sentinel.
Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih
1.2 Memilih atau membuat komputer Linux
Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai komputer Linux proksi khusus antara solusi keamanan Anda dan Microsoft Azure Sentinel, komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.
1.3 Pasang kolektor CEF di komputer Linux
Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF di port 514 TCP.
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python -version
- Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda
Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Meneruskan log Common Event Format (CEF)
Atur Konsol Ancaman Anda untuk mengirim pesan Syslog dalam format CEF ke ruang kerja Azure Anda. Catat ID Ruang Kerja dan Kunci Primer dalam Ruang Kerja Analitik Log Anda (Pilih ruang kerja dari menu ruang kerja Analitik Log di portal Azure. Lalu pilih Manajemen agen di bagian Pengaturan).
- Buka Analitik Pelaporan & di dalam Konsol iboss Anda
- Pilih Penerusan Log -> Teruskan Dari Wartawan
- Pilih Tindakan -> Tambahkan Layanan
- Alihkan ke Microsoft Azure Sentinel sebagai Jenis Layanan dan masukkan ID Ruang Kerja/Kunci Primer Anda bersama dengan kriteria lain. Jika komputer Linux proksi khusus telah dikonfigurasi, alihkan ke Syslog sebagai Jenis Layanan dan konfigurasikan pengaturan untuk menunjuk ke komputer Linux proksi khusus Anda
- Tunggu satu hingga dua menit hingga penyiapan selesai
- Pilih Layanan Microsoft Azure Sentinel Anda dan verifikasi Status Penyetelan Sentinel Berhasil. Jika komputer Linux proksi khusus telah dikonfigurasi, Anda dapat melanjutkan dengan memvalidasi koneksi Anda
- Validasi koneksi
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda
- Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda (Hanya berlaku jika komputer Linux proksi khusus telah dikonfigurasi).
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.