Share via

Microsoft Sentinel 用レガシ エージェント経由 [非推奨] Netwrix Auditor コネクタ

  • [アーティクル]

Netwrix Auditor データ コネクタでは、Netwrix Auditor (旧称 Stealthbits Privileged Activity Manager) イベントを Microsoft Sentinel に取り込む機能が提供されます。 詳細については、Netwrix ドキュメントを参照してください。

コネクタ属性

コネクタ属性 説明
Kusto 関数エイリアス NetwrixAuditor
Kusto 関数 URL https://aka.ms/sentinel-netwrixauditor-parser
Log Analytics テーブル CommonSecurityLog
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

Netwrix Auditor イベント - すべてのアクティビティ。

NetwrixAuditor

| sort by TimeGenerated desc

ベンダーのインストール手順

注意

このデータ コネクタは、Kusto 関数に基づく NetwrixAuditor パーサーを利用して期待どおりに動作します。 このパーサーは、ソリューションのインストールと共にインストールされます。

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. CEF を使用してログを送信するように Netwrix Auditor を構成する

手順に従って、Netwrix Auditor からのイベント エクスポートを構成します。

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。