Connettore ai Vectra Stream per Microsoft Sentinel
Il connettore ai Vectra Stream consente di inviare i metadati di rete raccolti dai sensori Vectra attraverso la rete e il cloud a Microsoft Sentinel
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | VectraStream_CL |
| Supporto delle regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Intelligenza artificiale Vectra |
Esempi di query
Elencare tutte le query DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Numero di richieste DNS per tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Primi 10 di query in un dominio non esistente
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Ospitare e siti Web usando lo scambio di chiavi Diffie-Hellman non temporaneo
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Prerequisiti
Per eseguire l'integrazione con AI Vectra Stream, assicurarsi di disporre di:
- Brain Vectra AI: deve essere configurato per esportare i metadati di Stream in JSON
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto VectraStream distribuito con la soluzione Microsoft Sentinel.
- Installare ed eseguire l'onboarding dell'agente per Linux
Installare l'agente Linux nell'istanza di Linux sperate.
I log vengono raccolti solo dagli agenti Linux .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i metadati di Vectra Stream in Microsoft Sentinel. L'agente di Log Analytics viene usato per inviare codice JSON personalizzato in Monitoraggio di Azure, abilitando l'archiviazione dei metadati in una tabella personalizzata. Per altre informazioni, vedere la documentazione di Monitoraggio di Azure.
Scaricare il file di configurazione per l'agente di Log Analytics: VectraStream.conf (che si trova nella cartella Connessione or all'interno della soluzione Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare VectraStream.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .
Modificare VectraStream.conf come indicato di seguito:
i. configurare una porta alternativa a cui inviare i dati, se necessario. La porta predefinita è 29009.
ii. sostituire workspace_id con il valore reale dell'ID area di lavoro.
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurare e connettere Vectra AI Stream
Configurare Vectra AI Brain per inoltrare i metadati di Stream in formato JSON all'area di lavoro di Microsoft Sentinel tramite l'agente di Log Analytics.
Dall'interfaccia utente di Vectra passare a Impostazioni > Cognito Stream e Modificare la configurazione di destinazione:
Selezionare Publisher: RAW JSON
Impostare l'indirizzo IP del server o il nome host (ovvero l'host che esegue l'agente di Log Analytics)
Impostare tutta la porta su 29009 (questa porta può essere modificata se necessario)
Salva
Impostare i tipi di log (selezionare tutti i tipi di log disponibili)
Fare clic su Salva
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.