Condividi tramite

Connettore Tenable Identity Exposure per Microsoft Sentinel

  • Articolo

Tenable Identity Exposure Connector consente di inserire indicatori di esposizione, indicatori di attacco e log di flusso finale in Microsoft Sentinel. I diversi libri di lavoro e parser di dati consentono di modificare più facilmente i log e monitorare l'ambiente Active Directory. I modelli analitici consentono di automatizzare le risposte relative a eventi, esposizione e attacchi diversi.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Alias della funzione Kusto afad_parser
Tabelle Log Analytics Tenable_IE_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Sostenibile

Esempi di query

Ottenere il numero di avvisi attivati da ogni IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Ottenere tutti gli avvisi IoE con gravità superiore alla soglia

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Ottenere tutti gli avvisi di IoE per le ultime 24 ore

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Ottenere tutti gli avvisi di IoE per gli ultimi 7 giorni

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Ottenere tutti gli avvisi di IoE per gli ultimi 30 giorni

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Ottenere tutte le modifiche di trailflow per le ultime 24 ore

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Ottenere tutte le modifiche di trailflow per gli ultimi 7 giorni

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Ottenere il numero di avvisi attivati da ogni IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Ottenere tutti gli avvisi IoA per gli ultimi 30 giorni

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Prerequisiti

Per eseguire l'integrazione con Tenable Identity Exposure, assicurarsi di disporre di:

  • Accesso alla configurazione tenableIE: autorizzazioni per configurare il motore di avvisi syslog

Istruzioni per l’installazione di Vendor

Questo connettore dati dipende da afad_parser in base a una funzione Kusto per funzionare come previsto, che viene distribuito con la soluzione Microsoft Sentinel.

  1. Configurare il server Syslog

    È necessario prima di tutto un server Syslog linux a cui TenableIE invierà i log. In genere è possibile eseguire rsyslog in Ubuntu. È quindi possibile configurare questo server come desiderato, ma è consigliabile essere in grado di restituire i log TenableIE in un file separato.

    Configurare rsyslog per accettare i log dall'indirizzo IP TenableIE:Configure rsyslog to accept logs from your TenableIE IP address.:

    sudo -i

# Set TenableIE source IP address
export TENABLE_IE_IP={Enter your IP address}

# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-tenable.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
\$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
\$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
\$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs;MsgTemplate
EOF

# Restart rsyslog
systemctl restart rsyslog

  2. Installare ed eseguire l'onboarding dell'agente Microsoft per Linux

    L'agente OMS riceverà gli eventi Syslog TenableIE e lo pubblicherà in Microsoft Sentinel.

  3. Controllare i log dell'agente nel server Syslog

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

  4. Configurare TenableIE per inviare i log al server Syslog

    Nel portale TenableIE passare a Sistema, Configurazione e quindi Syslog. Da qui è possibile creare un nuovo avviso Syslog per il server Syslog.

    Al termine, verificare che i log vengano raccolti correttamente nel server in un file separato. A tale scopo, è possibile usare il pulsante Test della configurazione nella configurazione degli avvisi Syslog in TenableIE. Se è stato usato il modello di avvio rapido, il server Syslog sarà in ascolto per impostazione predefinita sulla porta 514 in UDP e 1514 in TCP, senza TLS.

  5. Configurare i log personalizzati

Configurare l'agente per raccogliere i log.

  1. In Microsoft Sentinel passare a Configurazione ->Impostazioni -Impostazioni -Impostazioni ->>Log personalizzati.

  2. Fare clic su Aggiungi log personalizzato.

  3. Caricare un esempio TenableIE.log file Syslog dal computer Linux che esegue il server Syslog e fare clic su Avanti

  4. Impostare il delimitatore di record su Nuova riga se non è già presente il case e fare clic su Avanti.

  5. Selezionare Linux e immettere il percorso del file Syslog, fare clic su Avanti.+ Il percorso predefinito del file è /var/log/TenableIE.log se si ha una versione <tenable 3.1.0, è necessario aggiungere anche questo percorso /var/log/AlsidForAD.logdi file linux.

  6. Impostare Il nome su Tenable_IE_CL (Azure aggiunge automaticamente _CL alla fine del nome, deve essere presente un solo nome, assicurarsi che il nome non sia Tenable_IE_CL_CL).

  7. Fare clic su Avanti, verrà visualizzato un curriculum, quindi fare clic su Crea.

  8. Buon lavoro.

È ora possibile ricevere i log nella tabella Tenable_IE_CL , i dati dei log possono essere analizzati usando la funzione afad_parser(), usata da tutti gli esempi di query, le cartelle di lavoro e i modelli analitici.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.