[Deprecato] Trend Micro Deep Security tramite connettore legacy per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore Trend Micro Deep Security consente di connettere facilmente i log di Deep Security con Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo è possibile ottenere maggiori informazioni sulle reti/sui sistemi dell'organizzazione e migliorare le funzionalità operative di sicurezza.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| URL della funzione Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| Tabelle Log Analytics | CommonSecurityLog (TrendMicroDeepSecurity) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Trend Micro |
Esempi di query
Eventi di prevenzione intrusioni
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Eventi di monitoraggio dell'integrità
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Eventi del firewall
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Eventi di ispezione dei log
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Eventi antimalware
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Eventi della reputazione Web
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Istruzioni per l’installazione di Vendor
- Configurazione dell'agente di Syslog per Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Verificare che Python sia installato nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Inoltrare i log di Trend Micro Deep Security all'agente Syslog
Impostare la soluzione di sicurezza per inviare messaggi Syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP sull'indirizzo IP del computer.
Inoltrare gli eventi Trend Micro Deep Security all'agente Syslog.
Definire una nuova configurazione Syslog che usa il formato CEF facendo riferimento questo articolo della Knowledge Base per altre informazioni.
Configurare Deep Security Manager per usare questa nuova configurazione per inoltrare gli eventi all'agente Syslog usando queste istruzioni.
Assicurarsi di salvare la funzione TrendMicroDeepSecurity in modo che esegui una query sui dati trend Micro Deep Security correttamente.
Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Verificare che Python sia installato nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.