Microsoft Sentinel 用レガシ エージェント コネクタを使用した vArmour アプリケーション コントローラー
vArmour は、企業全体のアプリケーション関係を視覚化および制御することで、運用リスクを軽減し、サイバー回復性を向上させます。 この vArmour コネクタを使用すると、アプリケーション コントローラー違反アラートを Microsoft Sentinel にストリーミングできるため、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (vArmour) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | vArmour Networks |
クエリのサンプル
上位 10 件のアプリ間違反
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| extend AppNameSrcDstPair = extract_all("AppName=;(\\w+)", AdditionalExtensions)
| summarize count() by tostring(AppNameSrcDstPair)
| top 10 by count_
違反と一致する上位 10 件のポリシー名
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by DeviceCustomString1
| top 10 by count_ desc
違反を生成している上位 10 件のソース IP
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by SourceIP
| top 10 by count_
違反を生成している上位 10 件の宛先 IP
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by DestinationIP
| top 10 by count_
違反と一致する上位 10 件のアプリケーション プロトコル
CommonSecurityLog
| where DeviceVendor == "vArmour"
| where DeviceProduct == "AC"
| where Activity == "POLICY_VIOLATION"
| summarize count() by ApplicationProtocol
| top 10 by count_
ベンダーのインストール手順
- Linux Syslog エージェントの構成
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。
すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください
1.1 Linux コンピューターを選択または作成する
Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。
1.2 Linux コンピューターに CEF コレクターをインストールする
Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
- マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
次のコマンドを実行し、CEF コレクターをインストールして適用します。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Common Event Format (CEF) ログを Syslog エージェントに転送するように vArmour Application Controller を構成する
プロキシ マシンに CEF 形式で Syslog メッセージを送信します。 必ず、そのマシンの IP アドレスのポート 514 TCP にログを送信するようにしてください。
2.1 vArmour Application Controller のユーザー ガイドをダウンロードする
https://support.varmour.com/hc/en-us/articles/360057444831-vArmour-Application-Controller-6-0-User-Guide からユーザー ガイドをダウンロードします。
2.2 ポリシー違反を送信するように Application Controller を構成する
ユーザー ガイドで、「監視と違反のための Syslog の構成」を参照し、手順 1 から 3 に従います。
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、次の接続検証スクリプトを実行します。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
- コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です
次のコマンドを実行して、接続を検証します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。