Konektor Eksposur Identitas yang Dapat Disewa untuk Microsoft Azure Sentinel

Konektor Eksposur Identitas yang Dapat Disewa memungkinkan Indikator Paparan, Indikator Serangan, dan log trailflow untuk diserap ke Microsoft Sentinel.Buku kerja dan pengurai data yang berbeda memungkinkan Anda untuk lebih mudah memanipulasi log dan memantau lingkungan Direktori Aktif Anda. Templat analitik memungkinkan Anda mengotomatiskan respons mengenai berbagai peristiwa, paparan, dan serangan.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

Atribut konektor

Atribut konektor	Deskripsi
Alias fungsi Kusto	afad_parser
Tabel Log Analytics	Tenable_IE_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Dapat dipertahankan

Kueri sampel

Mendapatkan jumlah pemberitahuan yang dipicu oleh setiap IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Dapatkan semua pemberitahuan IoE dengan tingkat keparahan lebih unggul dari ambang batas

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Dapatkan semua pemberitahuan IoE selama 24 jam terakhir

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Dapatkan semua pemberitahuan IoE selama 7 hari terakhir

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Dapatkan semua pemberitahuan IoE selama 30 hari terakhir

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Mendapatkan semua perubahan alur jejak selama 24 jam terakhir

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Mendapatkan semua perubahan alur jejak selama 7 hari terakhir

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Mendapatkan jumlah pemberitahuan yang dipicu oleh setiap IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Mendapatkan semua pemberitahuan IoA selama 30 hari terakhir

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Prasyarat

Untuk berintegrasi dengan Eksposur Identitas Yang Dapat Disewa, pastikan Anda memiliki:

• Akses ke Konfigurasi TenableIE: Izin untuk mengonfigurasi mesin peringatan syslog

Instruksi penginstalan vendor

Konektor data ini bergantung pada afad_parser berdasarkan Fungsi Kusto agar berfungsi seperti yang diharapkan yang disebarkan dengan Solusi Microsoft Azure Sentinel.

1. Mengonfigurasi server Syslog

   Anda akan terlebih dahulu memerlukan server Syslog linux yang akan dikirimi log TenableIE. Biasanya Anda dapat menjalankan rsyslog di Ubuntu. Anda kemudian dapat mengonfigurasi server ini sesuai keinginan Anda, tetapi disarankan untuk dapat menghasilkan log TenableIE dalam file terpisah.

   Konfigurasikan rsyslog untuk menerima log dari alamat IP TenableIE Anda.:

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Menginstal dan onboard agen Microsoft untuk Linux

   Agen OMS akan menerima peristiwa syslog TenableIE dan menerbitkannya di Microsoft Azure Sentinel.

3. Memeriksa log agen di server Syslog

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. Mengonfigurasi TenableIE untuk mengirim log ke server Syslog Anda

   Di portal TenableIE Anda, buka Sistem, Konfigurasi lalu Syslog. Dari sana Anda dapat membuat pemberitahuan Syslog baru ke server Syslog Anda.

   Setelah ini selesai, periksa apakah log dikumpulkan dengan benar di server Anda dalam file terpisah (untuk melakukan ini, Anda dapat menggunakan tombol Uji konfigurasi di konfigurasi pemberitahuan Syslog di TenableIE). Jika Anda menggunakan templat Mulai Cepat, server Syslog secara default akan mendengarkan di port 514 di UDP dan 1514 di TCP, tanpa TLS.

5. Mengonfigurasi log kustom

Konfigurasikan agen untuk mengumpulkan log.

1. Di Microsoft Azure Sentinel, buka Konfigurasi ->Pengaturan ->Pengaturan ruang kerja ->Log kustom.

2. Klik Tambahkan log kustom.

3. Unggah sampel TenableIE.log file Syslog dari komputer Linux yang menjalankan server Syslog dan klik Berikutnya

4. Atur pemisah catatan ke Baris Baru jika belum terjadi dan klik Berikutnya.

5. Pilih Linux dan masukkan jalur file ke file Syslog , klik + lalu Berikutnya. Lokasi default file adalah /var/log/TenableIE.log jika Anda memiliki Tenable versi <3.1.0, Anda juga harus menambahkan lokasi /var/log/AlsidForAD.logfile linux ini .

6. Atur Nama ke Tenable_IE_CL (Azure secara otomatis menambahkan _CL di akhir nama, hanya boleh ada satu, pastikan nama tidak Tenable_IE_CL_CL).

7. Klik Berikutnya, Anda akan melihat resume, lalu klik Buat.

8. Nikmati!

Anda sekarang dapat menerima log dalam tabel Tenable_IE_CL , data log dapat diurai menggunakan fungsi afad_parser(), digunakan oleh semua sampel kueri, buku kerja, dan templat analitik.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.