Microsoft Sentinel용 Tenable Identity Exposure 커넥터

테넌트 ID 노출 커넥터를 사용하면 노출 지표, 공격 지표 및 후행 흐름 로그를 Microsoft Sentinel에 수집할 수 있습니다. 다양한 작업 설명서 및 데이터 파서를 사용하면 로그를 보다 쉽게 조작하고 Active Directory 환경을 모니터링할 수 있습니다. 분석 템플릿을 사용하면 다양한 이벤트, 노출 및 공격에 대한 응답을 자동화할 수 있습니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성	설명
Kusto 함수 별칭	afad_parser
Log Analytics 테이블	Tenable_IE_CL
데이터 수집 규칙 지원	현재 지원되지 않음
다음에서 지원	Tenable

쿼리 샘플

각 IoE에 의해 트리거되는 경고 수 가져오기

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

임계값보다 높은 심각도로 모든 IoE 경고 가져오기

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

지난 24시간 동안 모든 IoE 경고 가져오기

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

지난 7일 동안의 모든 IoE 경고 가져오기

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

지난 30일 동안의 모든 IoE 경고 가져오기

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

지난 24시간 동안의 모든 후행 흐름 변경 내용 가져오기

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

지난 7일 동안의 모든 후행 흐름 변경 내용 가져오기

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

각 IoA에 의해 트리거되는 경고 수 가져오기

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

지난 30일 동안의 모든 IoA 경고 가져오기

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

필수 조건

Tenable Identity Exposure와 통합하려면 다음이 있는지 확인합니다.

• TenableIE 구성에 대한 액세스: syslog 경고 엔진을 구성할 수 있는 권한

공급업체 설치 지침

이 데이터 커넥터는 Microsoft Sentinel Solution과 함께 배포된 Kusto 함수를 기반으로 하는 afad_parser 따라 달라집니다.

1. Syslog 서버 구성

   먼저 TenableIE에서 로그를 보낼 Linux Syslog 서버가 필요합니다. 일반적으로 Ubuntu에서 rsyslog를 실행할 수 있습니다. 그런 다음 원하는 대로 이 서버를 구성할 수 있지만 별도의 파일에서 TenableIE 로그를 출력할 수 있도록 하는 것이 좋습니다.

   TenableIE IP 주소의 로그를 허용하도록 rsyslog를 구성합니다.

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Linux용 Microsoft 에이전트 설치 및 온보딩

   OMS 에이전트는 TenableIE syslog 이벤트를 수신하고 Microsoft Sentinel에 게시합니다.

3. Syslog 서버에서 에이전트 로그 확인

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. Syslog 서버에 로그를 보내도록 TenableIE 구성

   TenableIE 포털에서 시스템, 구성 및 Syslog로 이동합니다. 여기에서 Syslog 서버에 대한 Syslog 경고를 새로 만들 수 있습니다.

   이 작업이 완료되면 서버에서 로그가 별도의 파일로 올바르게 수집되었는지 확인합니다(이렇게 하려면 TenableIE의 Syslog 경고 구성에서 구성 테스트 단추를 사용할 수 있습니다). 빠른 시작 템플릿을 사용한 경우 Syslog 서버는 기본적으로 TLS 없이 UDP의 포트 514 및 TCP의 1514에서 수신 대기합니다.

5. 사용자 지정 로그 구성

로그를 수집하도록 에이전트를 구성합니다.

1. Microsoft Sentinel에서 구성 -설정 ->>작업 영역 설정 ->사용자 지정 로그로 이동합니다.

2. 사용자 지정 로그 추가를 클릭합니다.

3. Syslog 서버를 실행하는 Linux 컴퓨터에서 샘플 TenableIE.log Syslog 파일을 업로드하고 다음을 클릭합니다.

4. 레코드 구분 기호를 새 줄(아직 대/소문자가 아닌 경우)으로 설정하고 다음을 클릭합니다.

5. Linux를 선택하고 Syslog 파일의 파일 경로를 입력하고 다음을 클릭합니다+. 파일의 기본 위치는 /var/log/TenableIE.log Tenable 버전 <3.1.0이 있는 경우 이 Linux 파일 위치 /var/log/AlsidForAD.log도 추가해야 합니다.

6. 이름을 Tenable_IE_CL 설정합니다(Azure는 이름 끝에 _CL 자동으로 추가합니다. 이름이 Tenable_IE_CL_CL 않는지 확인하려면 하나만 있어야 합니다.)

7. 다음을 클릭하면 이력서가 표시되고 만들기를 클릭합니다.

8. 즐겨보세요!

이제 Tenable_IE_CL 테이블에서 로그를 받을 수 있어야 하며, 모든 쿼리 샘플, 통합 문서 및 분석 템플릿에서 사용하는 afad_parser() 함수를 사용하여 로그 데이터를 구문 분석할 수 있습니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.