[Deprecato] AI Vectra Stream via Legacy Agent connector for Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore ai Vectra Stream consente di inviare i metadati di rete raccolti dai sensori Vectra attraverso la rete e il cloud a Microsoft Sentinel
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | VectraStream_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Intelligenza artificiale Vectra |
Esempi di query
Elencare tutte le query DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Numero di richieste DNS per tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
Primi 10 di query in un dominio non esistente
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Ospitare e siti Web usando lo scambio di chiavi Diffie-Hellman non temporaneo
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Prerequisiti
Per l'integrazione con ai Vectra Stream tramite l'agente legacy, assicurarsi di avere:
- Brain Vectra AI: deve essere configurato per esportare i metadati di Stream in JSON
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto VectraStream distribuito con la soluzione Microsoft Sentinel.
- Installare e caricare l'agente per Linux
Installare l'agente Linux nell'istanza di Linux sperate.
I log vengono raccolti solo dagli agenti Linux .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i metadati di Vectra Stream in Microsoft Sentinel. L'agente di Log Analytics viene usato per inviare codice JSON personalizzato in Monitoraggio di Azure, abilitando l'archiviazione dei metadati in una tabella personalizzata. Per altre informazioni, vedere la documentazione di Monitoraggio di Azure.
Scaricare il file di configurazione per l'agente di Log Analytics: VectraStream.conf (che si trova nella cartella Connector all'interno della soluzione Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare VectraStream.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .
Modificare VectraStream.conf come indicato di seguito:
i. configurare una porta alternativa a cui inviare i dati, se necessario. La porta predefinita è 29009.
ii. sostituire workspace_id con il valore reale dell'ID area di lavoro.
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurare e connettere Vectra AI Stream
Configurare Vectra AI Brain per inoltrare i metadati di Stream in formato JSON all'area di lavoro di Microsoft Sentinel tramite l'agente di Log Analytics.
Dall'interfaccia utente di Vectra passare a Impostazioni > Cognito Stream e Modificare la configurazione di destinazione:
Selezionare Publisher: RAW JSON
Impostare l'indirizzo IP del server o il nome host (ovvero l'host che esegue l'agente di Log Analytics)
Impostare tutta la porta su 29009 (questa porta può essere modificata se necessario)
Salva
Impostare i tipi di log (selezionare tutti i tipi di log disponibili)
Fare clic su Salva
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.