Microsoft Sentinel 用 AI Vectra Stream コネクタ

  • [アーティクル]

AI Vectra Stream コネクタを使用すると、Vectra センサーによってネットワークとクラウドで収集されたネットワーク メタデータを Microsoft Sentinel に送信できます

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル VectraStream_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Vectra AI

クエリのサンプル

すべての DNS クエリを一覧表示する

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

種類ごとの DNS 要求の数

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by type_name

既存以外のドメインに対する上位 10 個のクエリ

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

非エフェメラル Diffie-Hellman キー交換を使用しているホストと Web サイト

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

前提条件

AI Vectra Stream と統合するには、次があることを確認します。

  • Vectra AI Brain: JSON で Stream メタデータをエクスポートするように構成する必要があります

ベンダーのインストール手順

注意

このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている VectraStream) を利用して期待どおりに動作します。

  1. Linux 用エージェントをインストールおよびオンボードする

別の Linux インスタンスに Linux エージェントをインストールします。

ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

次の構成手順に従って、Vectra Stream のログを Microsoft Sentinel に取り込みます。 Log Analytics エージェントは、カスタム JSON を Azure Monitor に送信するために利用され、メタデータをカスタム テーブルに保管できるようにします。 詳細については、Azure Monitor のドキュメントを参照してください。

  1. Log Analytics エージェントの構成ファイル VectraStream.conf をダウンロードします (Vectra ソリューション内の Connector フォルダーにあります: https://aka.ms/sentinel-aivectrastream-conf)。

  2. Azure Log Analytics エージェントをインストールしたサーバーにログインします。

  3. VectraStream.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。

  4. VectraStream.conf を次のように編集します。

    i. 必要に応じて、データを送信する代替ポートを構成します。 既定のポートは 29009 です。

    ii. workspace_id を実際のワークスペース ID の値に置き換えます。

  5. 変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Vectra AI Stream の構成と接続

Log Analytics エージェントを使用して JSON 形式の Stream メタデータを Microsoft Sentinel ワークスペースに転送するように Vectra AI Brain を構成します。

Vectra UI から、[Settings] (設定) > [Cognito Stream] (Cognito ストリーム) に移動し、宛先の構成を編集します。

  • [Publisher: RAW JSON] を選択します

  • サーバーの IP またはホスト名 (Log Analytics エージェントを実行するホスト) を設定します

  • すべてのポートを 29009 に設定します (このポートは必要に応じて変更できます)

  • 保存

  • ログの種類を設定します (使用可能なすべてのログの種類を選択します)

  • [設定] メニューの [保存]

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。