WithSecure Elements via connector for Microsoft Sentinel
WithSecure Elements è una piattaforma unificata di sicurezza informatica basata sul cloud. Connettendo WithSecure Elements tramite Connessione or a Microsoft Sentinel, gli eventi di sicurezza possono essere ricevuti in Common Event Format (CEF) su syslog. Richiede la distribuzione di "Elements Connessione or" in locale o nel cloud. Common Event Format (CEF) offre funzionalità di ricerca e correlazione in modo nativo, avvisi e arricchimento di intelligence sulle minacce per ogni log dei dati.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
| Attributo Connessione or | Descrizione |
|---|---|
| Tabelle di Log Analytics | CommonSecurityLog (WithSecure Events) |
| Supporto delle regole di raccolta dati | Trasformazione dell'area di lavoro DCR |
| Supportata da: | WithSecure |
Esempi di query
Tutti i log
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Istruzioni di installazione fornitore
- Configurazione dell'agente Syslog linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare un computer Linux che Microsoft Sentinel userà come proxy tra la soluzione WithSecurity e Sentinel. Il computer può essere locale, Microsoft Azure o un altro cloud basato su cloud.
Linux deve avere
syslog-ngepython/python3installare.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux e configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Assicurarsi di avere Python nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Per python3 usare il comando seguente:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Inoltrare i dati da WithSecure Elements Connessione or all'agente Syslog
In questo modo viene descritto come installare e configurare elementi Connessione or passo dopo passo.
2.1 Order Connessione or subscription
Se la sottoscrizione di Connessione or non è ancora stata ordinata, passare a EPP nel portale elementi. Passare quindi a Download e nella sezione Elements Connessione or fare clic sul pulsante "Crea chiave di sottoscrizione". È possibile controllare La chiave di sottoscrizione in Sottoscrizioni.
2.2 Scaricare Connessione or
Passare a Download e nella sezione WithSecure Elements Connessione or selezionare il programma di installazione corretto.
2.3 Creare la chiave API di gestione
Quando in EPP aprire le impostazioni dell'account nell'angolo in alto a destra. Selezionare quindi Recupera chiave API di gestione. Se la chiave è stata creata in precedenza, può essere letta anche lì.
2.4 Installare Connessione or
Per installare Elements Connessione or, seguire Elements Connessione or Docs.
2.5 Configurare l'inoltro degli eventi
Se l'accesso all'API non è stato configurato durante l'installazione, seguire Configurazione dell'accesso API per Elements Connessione or. Passare quindi a EPP, quindi Profili, quindi usare For Connessione or da dove è possibile visualizzare i profili del connettore. Creare un nuovo profilo (o modificare un profilo non di sola lettura esistente). In Inoltro eventi abilitarlo. Indirizzo di sistema SIEM: 127.0.0.1:514. Impostare formato su Formato evento comune. Il protocollo è TCP. Salvare il profilo e assegnarlo a Elementi Connessione or nella scheda Dispositivi.
- Convalidare la connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Potrebbero essere necessari circa 20 minuti fino a quando i dati della connessione non passano all'area di lavoro.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Assicurarsi di disporre di Python nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
Per python3 usare il comando seguente:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.