[Deprecato] FireEye Network Security (NX) tramite il connettore Legacy Agent per Microsoft Sentinel
Il connettore dati FireEye Network Security (NX) offre la possibilità di inserire i log di Sicurezza di rete FireEye in Microsoft Sentinel.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (FireEyeNX) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Microsoft Corporation |
Esempi di query
Prime 10 origini
FireEyeNXEvent
| where isnotempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Istruzioni di installazione fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto FireEyeNXEvent distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato con FEOS versione 9.0
- Configurazione dell'agente Syslog linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, questo computer può trovarsi nell'ambiente locale, In Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurare FireEye NX per l'invio di log tramite CEF
Completare i passaggi seguenti per inviare dati usando CEF:
2.1. Accedere all'appliance FireEye con un account amministratore
2.2. Fare clic su Settings
2.3. Fare clic su Notifiche
Fare clic su rsyslog
2.4. Selezionare la casella di controllo Tipo di evento
2.5. Assicurarsi che le impostazioni di Rsyslog siano:
Formato predefinito: CEF
Recapito predefinito: per evento
Invio predefinito come: Avviso
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di disporre di Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per