Condividi tramite

[Deprecato] Sicurezza attiva tramite il connettore Legacy Agent per Microsoft Sentinel

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Il connettore CEF Di sicurezza attiva consente agli utenti di inviare corrispondenze del modello di rilevamento dalla piattaforma di sicurezza attiva a Microsoft Sentinel. Correggere rapidamente le minacce con la potenza di rilevamento e risposta della rete e velocizzare le indagini con visibilità approfondita soprattutto in entità non gestite, tra cui utenti, dispositivi e applicazioni nella rete. Il connettore consente anche la creazione di avvisi personalizzati incentrati sulla sicurezza di rete, eventi imprevisti, cartelle di lavoro e notebook allineati ai flussi di lavoro delle operazioni di sicurezza esistenti.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics CommonSecurityLog (AwakeSecurity)
Supporto regole di raccolta dati Trasformazione area di lavoro DCR
Supportata da: Arista - Sicurezza attiva

Esempi di query

Primi 5 corrispondenze del modello antagonista in base alla gravità

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

Top 5 Devices by Device Risk Score

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

Istruzioni per l’installazione di Vendor

  1. Configurazione dell'agente di Syslog per Linux

Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.

Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata

1.1 Selezionare o creare una macchina virtuale Linux

Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.

1.2 Installare l'agente di raccolta CEF nel computer Linux

Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.

  1. Verificare che Python sia installato nel computer usando il comando seguente: python -version.
  1. È necessario disporre di autorizzazioni elevate (sudo) nel computer.

Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Inoltrare i risultati del modello antagonista sveglio a un agente di raccolta CEF.

Eseguire i passaggi seguenti per inoltrare i risultati della corrispondenza del modello antagonista sveglio a un agente di raccolta CEF in ascolto sulla porta TCP 514 all'indirizzo IP 192.168.0.1:

  • Passare alla pagina Detection Management Skills (Competenze di gestione rilevamento) nell'interfaccia utente attiva.
  • Fare clic su + Aggiungi nuova competenza.
  • Impostare il campo Espressione su,

integrations.cef.tcp { destination: "192.168.0.1", porta: 514, secure: false, severity: Warning }

  • Impostare il campo Titolo su un nome descrittivo, ad esempio

Inoltrare il risultato della corrispondenza del modello antagonista sveglio a Microsoft Sentinel.

  • Impostare l'identificatore di riferimento su un elemento facilmente individuabile, ad esempio

integrations.cef.sentinel-forwarder

  • Fare clic su Salva.

Nota: entro pochi minuti dal salvataggio della definizione e da altri campi il sistema inizierà a inviare nuovi risultati di corrispondenza del modello all'agente di raccolta eventi CEF man mano che vengono rilevati.

Per altre informazioni, vedere la pagina Aggiunta di informazioni di sicurezza e integrazione push gestione eventi dalla documentazione della Guida nell'interfaccia utente attiva.

  1. Convalida connessione

Seguire le istruzioni per convalidare la connettività:

Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.

Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.

Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:

  1. Verificare che Python sia installato nel computer usando il comando seguente: python -version
  1. È necessario disporre di autorizzazioni elevate (sudo) nel computer

Eseguire il comando seguente per convalidare la connettività:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteggere il computer

Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione

Altre informazioni>

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.