Microsoft Sentinel 用 Vectra AI Detect コネクタ
AI Vectra Detect コネクタを使用すると、ユーザーは Vectra Detect ログを Microsoft Sentinel に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、ユーザーは、組織のネットワークに関するより詳細な分析情報を得ることができ、セキュリティ運用機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (AIVectraDetect) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Vectra AI |
クエリのサンプル
すべてのログ
CommonSecurityLog
| where DeviceVendor == "Vectra Networks"
| where DeviceProduct == "X Series"
| sort by TimeGenerated
重要度別のホスト数
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| extend status = case(FlexNumber1>=50 and FlexNumber2<50, "High", FlexNumber1>=50 and FlexNumber2>=50, "Critical", FlexNumber1<50 and FlexNumber2>=50, "Medium", FlexNumber1>0 and FlexNumber1<50 and FlexNumber2>0 and FlexNumber2<50,"Low", "Other")
| where status != "Other"
| summarize Count = count() by status
悪質な違反者の一覧
CommonSecurityLog
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID == "hsc"
| extend src = coalesce(SourceHostName, SourceIP)
| summarize arg_max(TimeGenerated, *) by src
| sort by FlexNumber1 desc, FlexNumber2 desc
| limit 10
| project row_number(), src, SourceIP, FlexNumber1 , FlexNumber2, TimeGenerated
| project-rename Sr_No = Column1, Source = src, Source_IP = SourceIP, Threat = FlexNumber1, Certainty = FlexNumber2, Latest_Detection = TimeGenerated
上位 10 件の検出の種類
CommonSecurityLog
| extend ExternalID = coalesce(column_ifexists("ExtID", ""), tostring(ExternalID), "")
| where DeviceVendor == "Vectra Networks" and DeviceEventClassID !in ("health", "audit", "campaigns", "hsc", "asc") and isnotnull(ExternalID)
| summarize Count = count() by DeviceEventClassID
| top 10 by Count desc
ベンダーのインストール手順
- Linux Syslog エージェントの構成
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。
すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください
1.1 Linux コンピューターを選択または作成する
Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。
1.2 Linux コンピューターに CEF コレクターをインストールする
Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、TCP、UDP、または TLS を介してポート 514 TCP で CEF メッセージが収集されます。
- コマンド python --version を使用して、コンピューターに Python がインストールされていることを確認します。
- マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
次のコマンドを実行し、CEF コレクターをインストールして適用します。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- AI Vectra の検出ログを CEF 形式で Syslog エージェントに転送する
Syslog エージェントを使用して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。
Vectra UI から、[設定] > [通知] の順に移動して、[Syslog 構成の編集] を選択します。 以下の手順に従って、接続を設定します。
新しい宛先 (Microsoft Sentinel Syslog エージェントが実行されているホスト) を追加します
ポートを 514 として設定します
[プロトコル] を [UDP] に設定します
形式を [CEF] に設定します
ログの種類を設定します (使用可能なすべてのログの種類を選択します)
[設定] メニューの [保存]
ユーザーは、[テスト] ボタンをクリックして、いくつかのテスト イベントを強制的に送信できます。
詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドを参照してください。
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、次の接続検証スクリプトを実行します。
- コマンド python --version を使用して、コンピューターに Python がインストールされていることを確認します
- コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です
次のコマンドを実行して、接続を検証します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。