vArmour Application Controller tramite il connettore Legacy Agent per Microsoft Sentinel
vArmour riduce il rischio operativo e aumenta la resilienza informatica visualizzando e controllando le relazioni tra applicazioni nell'intera azienda. Questo connettore vArmour consente lo streaming di avvisi di violazione del controller applicazione in Microsoft Sentinel, in modo da poter sfruttare i vantaggi della ricerca e della correlazione, degli avvisi e dell'arricchimento delle informazioni sulle minacce per ogni log.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | CommonSecurityLog (vArmour) |
Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
Supportato da | Reti vArmour |
Esempi di query
Top 10 App to App violations
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| extend AppNameSrcDstPair = extract_all("AppName=;(\\w+)", AdditionalExtensions)
| summarize count() by tostring(AppNameSrcDstPair)
| top 10 by count_
Primi 10 nomi di criteri corrispondenti alle violazioni
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by DeviceCustomString1
| top 10 by count_ desc
Primi 10 indirizzi IP di origine che generano violazioni
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by SourceIP
| top 10 by count_
Primi 10 indirizzi IP di destinazione che generano violazioni
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by DestinationIP
| top 10 by count_
Primi 10 protocolli applicazione che corrispondono alle violazioni
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by ApplicationProtocol
| top 10 by count_
Istruzioni di installazione fornitore
- Configurazione dell'agente Syslog linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel, questo computer può trovarsi nell'ambiente locale, In Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurare il controller applicazione vArmour per inoltrare i log cef (Common Event Format) all'agente Syslog
Inviare messaggi Syslog in formato CEF al computer proxy. Assicurarsi di inviare i log alla porta 514 TCP nell'indirizzo IP del computer.
2.1 Scaricare la guida utente del controller applicazione vArmour
Scaricare la guida utente da https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide.
2.2 Configurare il controller dell'applicazione per l'invio di violazioni dei criteri
Nella guida dell'utente fare riferimento a "Configurazione di Syslog per il monitoraggio e le violazioni" e seguire i passaggi da 1 a 3.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di disporre di Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.