Microsoft Sentinel용 Awake 보안 커넥터

  • 아티클

Awake 보안 CEF 커넥터를 사용하면 사용자가 Awake 보안 플랫폼에서 Microsoft Sentinel로 검색 모델 일치 항목을 보낼 수 있습니다. 강력한 네트워크 검색 및 대응 기능으로 위협을 신속하게 해결하고, 특히 네트워크의 사용자, 디바이스, 애플리케이션 등 관리되지 않는 엔터티에 대한 심층적인 가시성을 통해 조사 속도를 높입니다. 또한 커넥터를 사용하면 기존 보안 운영 워크플로에 맞춰 네트워크 보안에 중점을 둔 사용자 지정 경고, 인시던트, 통합 문서 및 Notebook을 생성할 수 있습니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 CommonSecurityLog(AwakeSecurity)
데이터 수집 규칙 지원 작업 영역 변환 DCR
다음에서 지원 Arista - 활성 보안

쿼리 샘플

심각도별 상위 5개 악의적 모델 일치 항목

union CommonSecurityLog

| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"

| summarize  TotalActivities=sum(EventCount) by Activity,LogSeverity

| top 5 by LogSeverity desc

디바이스 위험 점수별 상위 5개 디바이스

CommonSecurityLog 
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security" 
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null)) 
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown") 
| top 5 by MaxDeviceRiskScore desc

공급업체 설치 지침

  1. Linux Syslog 에이전트 구성

CEF(Common Event Format) Syslog 메시지를 수집하여 Microsoft Sentinel에 전달하도록 Linux 에이전트를 설치 및 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 머신 선택 또는 만들기

Microsoft Sentinel이 보안 솔루션과 Microsoft Sentinel 간에 프록시로 사용할 Linux 컴퓨터를 선택하거나 만듭니다. 이 컴퓨터는 온-프레미스 환경, Azure 또는 다른 클라우드에 있을 수 있습니다.

1.2 Linux 머신에 CEF 수집기 설치

Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
  1. 머신에 상승된 권한(sudo)이 있어야 합니다.

다음 명령을 실행하여 CEF 수집기를 설치하고 적용합니다.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Awake 악의적 모델 일치 결과를 CEF 수집기로 전달합니다.

Awake 악의적 모델 일치 결과를 IP 192.168.0.1의 TCP 포트 514에서 수신 대기하는 CEF 수집기로 전달하려면 다음 단계를 수행합니다.

  • Awake UI의 검색 관리 기술 페이지로 이동합니다.
  • + 새 기술 추가를 클릭합니다.
  • 식 필드를 다음과 같이 설정합니다.

integrations.cef.tcp { destination: "192.168.0.1", port: 514, secure: false, severity: Warning }

  • 제목 필드를 다음과 같은 설명이 포함된 이름으로 설정합니다.

Awake 악의적 모델 일치 결과를 Microsoft Sentinel에 전달합니다.

  • 참조 식별자를 다음과 같이 쉽게 검색할 수 있는 항목으로 설정합니다.

integrations.cef.sentinel-forwarder

  • 저장을 클릭합니다.

참고: 정의 및 기타 필드를 저장한 후 몇 분 이내에 시스템은 새 모델 일치 결과가 감지되면 CEF 이벤트 수집기로 보내기 시작합니다.

자세한 내용은 Awake UI의 도움말 설명서에서 보안 정보 및 이벤트 관리 푸시 통합 추가 페이지를 참조하세요.

  1. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그가 수신되는지 확인합니다.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분 정도 걸릴 수 있습니다.

로그가 수신되지 않으면 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
  1. 머신에 상승된 권한(sudo)이 있어야 합니다.

다음 명령을 실행하여 연결의 유효성을 검사합니다.

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 컴퓨터 보호

머신 보안은 조직의 보안 정책에 따라 구성해야 합니다.

자세한 정보>

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.