[Deprecato] WithSecure Elements via connector for Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
WithSecure Elements è una piattaforma unificata di sicurezza informatica basata sul cloud. Connettendo WithSecure Elements via Connector a Microsoft Sentinel, gli eventi di sicurezza possono essere ricevuti in Common Event Format (CEF) su syslog. Richiede la distribuzione di "Elements Connector" in locale o nel cloud. Common Event Format (CEF) offre funzionalità di ricerca e correlazione in modo nativo, avvisi e arricchimento di intelligence sulle minacce per ogni log dei dati.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (WithSecure Events) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | WithSecure |
Esempi di query
Tutti i log
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Istruzioni per l’installazione di Vendor
- Configurazione dell'agente di Syslog per Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione WithSecurity e Sentinel. Il computer può essere locale, Microsoft Azure o un altro cloud basato su cloud.
Linux deve avere
syslog-ngepython/python3installare.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Verificare che Python sia installato nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Per python3 usare il comando seguente:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Inoltrare i dati da WithSecure Elements Connector all'agente Syslog
Viene descritto come installare e configurare Elements Connector in modo dettagliato.
2.1 Sottoscrizione di Order Connector
Se la sottoscrizione di Connector non è ancora stata ordinata, passare a EPP nel portale elementi. Passare quindi a Download e nella sezione Elements Connector fare clic sul pulsante "Crea chiave di sottoscrizione". È possibile controllare La chiave di sottoscrizione in Sottoscrizioni.
2.2 Scaricare il connettore
Passare a Download e nella sezione WithSecure Elements Connector selezionare il programma di installazione corretto.
2.3 Creare la chiave API di gestione
Quando in EPP aprire le impostazioni dell'account nell'angolo in alto a destra. Selezionare quindi Recupera chiave API di gestione. Se la chiave è stata creata in precedenza, può essere letta anche lì.
2.4 Installare il connettore
Per installare Elements Connector, seguire la documentazione di Elements Connector.
2.5 Configurare l'inoltro degli eventi
Se l'accesso all'API non è stato configurato durante l'installazione, seguire Configurazione dell'accesso all'API per Elements Connector. Passare quindi a EPP, quindi Profili, quindi usare For Connector da dove è possibile visualizzare i profili del connettore. Creare un nuovo profilo (o modificare un profilo non di sola lettura esistente). In Inoltro eventi abilitarlo. Indirizzo di sistema SIEM: 127.0.0.1:514. Impostare formato su Formato evento comune. Il protocollo è TCP. Salvare il profilo e assegnarlo a Elements Connector nella scheda Dispositivi.
- Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Verificare che Python sia installato nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Per python3 usare il comando seguente:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.