Connettore Corelight per Microsoft Sentinel
Il connettore dati Corelight consente ai risponditori di eventi imprevisti e ai cacciatori di minacce che usano Microsoft Sentinel di lavorare in modo più rapido e efficace. Il connettore dati consente l'inserimento di eventi da Zeek e Suricata tramite i sensori Corelight in Microsoft Sentinel.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | Corelight_CL |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportato da | Corelight |
Esempi di query
Primi 10 client (IP di origine)
Corelight
| summarize count() by SrcIpAddr
| top 10 by count_
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto Corelight distribuito con la soluzione Microsoft Sentinel.
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui vengono generati i log di Corelight.
I log di Corelight Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i log di Corelight in Microsoft Sentinel. Questa configurazione arricchisce gli eventi generati dal modulo Corelight per fornire visibilità sulle informazioni sull'origine dei log per i log corelight. Per altri dettagli su questi passaggi, vedere la documentazione di Monitoraggio di Azure.
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare corelight.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .
Modificare corelight.conf come indicato di seguito:
i. configurare una porta alternativa a cui inviare i dati, se necessario (riga 3)
ii. sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 22.23.24.27)
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurare il sensore Corelight per inviare i log all'agente di Azure Log Analytics
Vedere la documentazione di Corelight per informazioni dettagliate su come configurare il sensore Corelight per esportare JSON su TCP. Configurare il server TCP JSON per l'indirizzo IP dell'agente di Azure Log Analytics usando la porta configurata nel passaggio precedente (porta 21234 per impostazione predefinita)
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.