Connettore ai Vectra Stream per Microsoft Sentinel
Il connettore ai Vectra Stream consente di inviare metadati di rete raccolti dai sensori Vectra attraverso la rete e il cloud a Microsoft Sentinel
Attributi del connettore
| Attributo del connettore | Descrizione |
|---|---|
| Tabelle di Log Analytics | VectraStream_CL |
| Supporto delle regole di raccolta dati | Attualmente non supportato |
| Supportato da | Intelligenza artificiale Vectra |
Esempi di query
Elencare tutte le query DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Numero di richieste DNS per tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Top 10 of query to non existing domain
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Ospitare e siti Web usando uno scambio di chiavi non temporaneo Diffie-Hellman
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Prerequisiti
Per eseguire l'integrazione con AI Vectra Stream, assicurarsi di avere:
- Vectra AI Brain: deve essere configurato per esportare i metadati di Stream in JSON
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto VectraStream distribuito con la soluzione Microsoft Sentinel.
- Installare ed eseguire l'onboarding dell'agente per Linux
Installare l'agente Linux nell'istanza di Linux sperate.
I log vengono raccolti solo dagli agenti Linux .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i metadati di Vectra Stream in Microsoft Sentinel. L'agente di Log Analytics viene usato per inviare json personalizzati in Monitoraggio di Azure, consentendo l'archiviazione dei metadati in una tabella personalizzata. Per altre informazioni, vedere la documentazione di Monitoraggio di Azure.
Scaricare il file di configurazione per l'agente di Log Analytics: VectraStream.conf (disponibile nella cartella Connector all'interno della soluzione Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare VectraStream.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .
Modificare VectraStream.conf nel modo seguente:
i. configurare una porta alternativa a cui inviare i dati, se necessario. La porta predefinita è 29009.
ii. sostituire workspace_id con il valore reale dell'ID dell'area di lavoro.
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurare e connettere Vectra AI Stream
Configurare Vectra AI Brain per inoltrare i metadati di Stream in formato JSON all'area di lavoro di Microsoft Sentinel tramite l'agente di Log Analytics.
Dall'interfaccia utente di Vectra passare a ImpostazioniCognito > Stream e Modificare la configurazione di destinazione:
Selezionare Publisher: RAW JSON
Impostare l'INDIRIZZO IP del server o il nome host ( ovvero l'host che esegue l'agente di Log Analytics)
Impostare tutta la porta su 29009 (questa porta può essere modificata se necessario)
Salva
Impostare i tipi di log (selezionare tutti i tipi di log disponibili)
Fare clic su Salva
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.