Connettore Trend Micro TippingPoint per Microsoft Sentinel
Il connettore Trend Micro TippingPoint consente di connettere facilmente gli eventi IPS SMS tippingPoint con Microsoft Sentinel, per visualizzare dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo è possibile ottenere informazioni più approfondite sulle reti o sui sistemi dell'organizzazione e migliorare le funzionalità operative di sicurezza.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (TrendMicroTippingPoint) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Trend Micro |
Esempi di query
Eventi IPS di TippingPoint
TrendMicroTippingPoint
| sort by TimeGenerated
Principali eventi IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by DeviceEventClassID, Activity, SimplifiedDeviceAction
| sort by EventCountTotal desc
IP di origine principale per gli eventi IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by SourceIP
| sort by EventCountTotal desc
IP di destinazione principale per gli eventi IPS
TrendMicroTippingPoint
| summarize EventCountTotal = sum(EventCount) by DestinationIP
| sort by EventCountTotal desc
Istruzioni di installazione fornitore
NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias TrendMicroTippingPoint e caricare il codice della funzione o fare clic qui. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
- Configurazione dell'agente Syslog Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati di tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare un computer Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, il computer può trovarsi nell'ambiente locale, In Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie i messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Inoltrare i log SMS di Trend Micro TippingPoint all'agente Syslog
Impostare l'SMS tippingPoint per inviare messaggi Syslog in formato CEF di ArcSight v4.2 al computer proxy. Assicurarsi di inviare i log alla porta TCP 514 nell'indirizzo IP del computer.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.