다음을 통해 공유

[사용되지 않음] Microsoft Sentinel용 레거시 에이전트 커넥터를 통한 AI Vectra Stream

  • 아티클

Important

이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.

AI Vectra Stream 커넥터를 사용하면 네트워크 및 클라우드를 통해 Vectra 센서에서 수집한 네트워크 메타데이터를 Microsoft Sentinel로 보낼 수 있습니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 VectraStream_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Vectra AI

쿼리 샘플

모든 DNS 쿼리 나열

VectraStream 

| where metadata_type == "metadat_dns" 

| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers

형식별 DNS 요청 수

VectraStream 

| where metadata_type == "metadat_dns" 

| summarize count() by qtype_name

기존 도메인이 아닌 도메인에 대한 상위 10개 쿼리

VectraStream 

| where metadata_type == "metadat_dns" 

| where rcode_name == "NXDomain"

| summarize Count=count() by tostring(query)

| order by Count desc

| limit 10

비임시 Diffie-Hellman 키 교환을 사용하는 호스트 및 웹 사이트

VectraStream 

| where metadata_type == "metadat_dns" 

| where cipher contains "TLS_RSA"

| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher

| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher

필수 조건

레거시 에이전트를 통해 AI Vectra Stream과 통합하려면 다음이 있는지 확인합니다.

  • Vectra AI Brain: JSON에서 스트림 메타데이터를 내보내도록 구성해야 합니다.

공급업체 설치 지침

참고 항목

이 데이터 커넥터는 Microsoft Sentinel Solution과 함께 배포되는 VectraStream이 예상대로 작동하도록 Kusto 함수 기반 파서를 사용합니다.

  1. Linux용 에이전트 설치 및 온보딩

Linux 에이전트를 별도의 Linux 인스턴스에 설치합니다.

로그는 Linux 에이전트에서만 수집됩니다.

  1. 수집할 로그 구성

아래 구성 단계에 따라 Vectra Stream 메타데이터를 Microsoft Sentinel로 가져옵니다. Log Analytics 에이전트는 사용자 지정 JSON을 Azure Monitor로 보내 메타데이터 스토리지를 사용자 지정 테이블로 사용하도록 설정하는 데 활용됩니다. 자세한 내용은 Azure Monitor 설명서를 참조하세요.

  1. 로그 분석 에이전트용 구성 파일: VectraStream.conf(Vectra 솔루션 내의 Connector 폴더에 있음: https://aka.ms/sentinel-aivectrastream-conf)를 다운로드합니다.

  2. Azure Log Analytics 에이전트를 설치한 서버에 로그인합니다.

  3. VectraStream.conf를 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 폴더에 복사합니다.

  4. 다음과 같이 VectraStream.conf를 편집합니다.

    i. 원하는 경우 데이터를 보낼 대체 포트를 구성합니다. 기본 포트는 29009입니다.

    ii. workspace_id를 작업 영역 ID의 실제 값으로 바꿉니다.

  5. 변경 내용을 저장하고 sudo /opt/microsoft/omsagent/bin/service_control restart 명령을 사용하여 Linux용 Azure Log Analytics 에이전트 서비스를 다시 시작합니다.

  6. Vectra AI Stream 구성 및 연결

Log Analytics 에이전트를 통해 JSON 형식의 스트림 메타데이터를 Microsoft Sentinel 작업 영역에 전달하도록 Vectra AI Brain을 구성합니다.

Vectra UI에서 설정 > Cognito 스트림으로 이동하고 대상 구성을 편집합니다.

  • 게시자 선택: RAW JSON

  • 서버 IP 또는 호스트 이름(Log Analytics 에이전트를 실행하는 호스트)을 설정합니다.

  • 모든 포트를 29009로 설정합니다(필요한 경우 이 포트를 수정할 수 있음).

  • 저장

  • 로그 형식 설정(사용할 수 있는 모든 로그 형식 선택)

  • 설정 메뉴에서 저장

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.