Microsoft Sentinel 用 Morphisec UTPP コネクタ

  • [アーティクル]

セキュリティ製品からの重要な分析情報を Morphisec Data Connector for Microsoft Sentinel と統合し、検索と関連付け、脅威インテリジェンス、カスタマイズされたアラートで分析機能を拡張します。 Morphisec の Data Connector を使うと、高度なファイルレス攻撃、インメモリ攻撃、ゼロデイなど、最新の最も高度な脅威を可視化できます。 単一のクロス製品ビューを使用すると、データを基にしたリアルタイムの意思決定を行って、最も重要な資産を保護できます

コネクタの属性

コネクタ属性 説明
Kusto 関数 URL https://aka.ms/sentinel-morphisecutpp-parser
Log Analytics テーブル CommonSecurityLog (Morphisec)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Morphisec

クエリのサンプル

ホスト別の脅威数


Morphisec

         
| summarize Times_Attacked=count() by SourceHostName

ユーザー名別の脅威数


Morphisec

         
| summarize Times_Attacked=count() by SourceUserName

高重大度の脅威


Morphisec

         
| where toint( LogSeverity) > 7  
| order by TimeGenerated

ベンダーのインストール手順

これらのクエリとブックは、期待どおりに動作するため、Kusto に基づく Kusto 関数に依存します。 クエリとブックで Kusto 関数エイリアス "Morphisec" を使う手順に従ってください。 この Kusto 関数を取得するための手順に従ってください。

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Common Event Format (CEF) ログを Syslog エージェントに転送する

Syslog メッセージを CEF 形式でプロキシ マシンに送信するように、セキュリティ ソリューションを設定します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。

  1. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。