Microsoft Sentinel 用 Awake Security コネクタ

  • [アーティクル]

Awake Security CEF コネクタを使用すると、ユーザーは Awake Security Platform から Microsoft Sentinel に検出モデルの一致を送信できます。 ネットワークの検出と対応の機能を使用して脅威を迅速に修復し、特にネットワーク上のユーザー、デバイス、アプリケーションなどのアンマネージド エンティティを詳細に可視化して調査を高速化します。 コネクタを使用すると、既存のセキュリティ オペレーション ワークフローに合わせて、ネットワーク セキュリティに重点を置いたカスタム アラート、インシデント、ブック、ノートブックを作成することもできます。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (AwakeSecurity)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Arista - Awake Security

クエリのサンプル

上位 5 件の Adversarial Model の一致 (重大度別)

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

上位 5 件のデバイス (デバイス リスク スコア別)

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

ベンダーのインストール手順

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Awake Adversarial Model の一致結果を CEF コレクターに転送します。

IP 192.168.0.1 の TCP ポート 514 でリッスンしている CEF コレクターに Awake Adversarial Model の一致結果を転送するには、次の手順を実行します。

  • Awake UI の [Detection Management Skills](検出管理スキル) ページに移動します。
  • [Add New Skill](新しいスキルの追加) をクリックします。
  • [Expression](式) フィールドに次を設定します。

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • [Title](タイトル) フィールドを次のようなわかりやすい名前に設定します。

Awake Adversarial Model の一致結果を Microsoft Sentinel に転送します。

  • 参照識別子を、次のような見つけやすいものに設定します。

integrations.cef.sentinel-forwarder

  • [保存] をクリックします。

注: 定義およびその他のフィールドを保存してから数分以内に、システムは、検出された新しいモデルの一致結果を CEF イベント コレクターに送信し始めます。

詳細については、Awake UI のヘルプ ドキュメントの「セキュリティ情報とイベント管理のプッシュ統合の追加」ページを参照してください。

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。