Microsoft Sentinel 用 Corelight コネクタ
Microsoft Sentinel を使うインシデント対応担当者と脅威追求担当者は、Corelight データ コネクタを使うと、いっそう速く効果的に作業できます。 このデータ コネクタを使うと、Corelight Sensor を介して Zeek と Suricata から Microsoft Sentinel にイベントを取り込むことができます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Corelight_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Corelight |
クエリのサンプル
上位 10 個のクライアント (ソース IP)
Corelight
| summarize count() by SrcIpAddr
| top 10 by count_
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている Corelight) を利用して期待どおりに動作します。
- Linux または Windows 用エージェントをインストールおよびオンボードする
Corelight ログが生成されるサーバーにエージェントをインストールします。
Linux または Windows サーバー上にデプロイされた Corelight サーバーからのログは、Linux または Windows エージェントによって収集されます。
- 収集するログを構成する
次の構成手順に従って、Corelight のログを Microsoft Sentinel に取り込みます。 この構成により、Corelight モジュールによって生成されるイベントが強化され、Corelight ログのログ ソース情報が表示されます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。
Azure Log Analytics エージェントをインストールしたサーバーにログインします。
corelight.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。
次のように corelight.conf を編集します。
i. 必要に応じて、データを送信する代替ポートを構成します (3 行目)
ii. workspace_id を実際のワークスペース ID の値に置き換えます (22、23、24、27 行目)
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart
Azure Log Analytics エージェントにログを送信するように Corelight Sensor を構成する
TCP 経由で JSON をエクスポートするように Corelight センサーを構成する方法について詳しくは、Corelight のドキュメントをご覧ください。 前のステップで構成したポート (既定ではポート 21234) を使って、JSON TCP サーバーを Azure Log Analytics エージェントの IP アドレスに構成します
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。