Contrasto del connettore Protect per Microsoft Sentinel
La protezione a contrasto riduce le minacce alla sicurezza nelle applicazioni di produzione con la protezione e l'osservabilità del runtime. I risultati degli eventi di attacco (bloccati, sondati, sospetti) e altre informazioni possono essere inviate a Microsoft Sentinel per combinare le informazioni di sicurezza di altri sistemi.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | CommonSecurityLog (ContrastProtect) |
| Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
| Supportato da | Protezione a contrasto |
Esempi di query
Tutti gli attacchi
let extract_data=(a:string, k:string) { parse_urlquery(replace(@';', @'&', a))["Query Parameters"][k] }; CommonSecurityLog
| where DeviceVendor == 'Contrast Security'
| extend Outcome = replace(@'INEFFECTIVE', @'PROBED', tostring(coalesce(column_ifexists("EventOutcome", ""), extract_data(AdditionalExtensions, 'outcome'), "")))
| where Outcome != 'success'
| extend Rule = extract_data(AdditionalExtensions, 'pri')
| project TimeGenerated, ApplicationProtocol, Rule, Activity, Outcome, RequestURL, SourceIP
| order by TimeGenerated desc
Attacchi efficaci
let extract_data=(a:string, k:string) {
parse_urlquery(replace(@';', @'&', a))["Query Parameters"][k]
};
CommonSecurityLog
| where DeviceVendor == 'Contrast Security'
| extend Outcome = tostring(coalesce(column_ifexists("EventOutcome", ""), extract_data(AdditionalExtensions, 'outcome'), ""))
| where Outcome in ('EXPLOITED','BLOCKED','SUSPICIOUS')
| extend Rule = extract_data(AdditionalExtensions, 'pri')
| project TimeGenerated, ApplicationProtocol, Rule, Activity, Outcome, RequestURL, SourceIP
| order by TimeGenerated desc
Istruzioni di installazione fornitore
- Configurazione dell'agente Syslog linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, questo computer può trovarsi nell'ambiente locale, In Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Inoltrare i log cef (Common Event Format) all'agente Syslog
Configurare l'agente Contrast Protect per inoltrare gli eventi a syslog come descritto di seguito: https://docs.contrastsecurity.com/en/output-to-syslog.html. Generare alcuni eventi di attacco per l'applicazione.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di disporre di Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.