[사용되지 않음] Microsoft Sentinel용 레거시 커넥터를 통한 Trend Micro Deep Security
Important
이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.
Trend Micro Deep Security 커넥터를 사용하면 Deep Security 로그를 Microsoft Sentinel에 간편하게 연결하고, 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 조직의 네트워크/시스템에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선할 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Kusto 함수 URL | https://aka.ms/TrendMicroDeepSecurityFunction |
| Log Analytics 테이블 | CommonSecurityLog(TrendMicroDeepSecurity) |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 다음에서 지원 | Trend Micro |
쿼리 샘플
침입 방지 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
무결성 모니터링 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
방화벽 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
로그 검사 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
맬웨어 방지 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
웹 평판 이벤트
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
공급업체 설치 지침
- Linux Syslog 에이전트 구성
CEF(Common Event Format) Syslog 메시지를 수집하여 Microsoft Sentinel에 전달하도록 Linux 에이전트를 설치 및 구성합니다.
모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.
1.1 Linux 머신 선택 또는 만들기
Microsoft Sentinel이 보안 솔루션과 Microsoft Sentinel 간에 프록시로 사용할 Linux 컴퓨터를 선택하거나 만듭니다. 이 컴퓨터는 온-프레미스 환경, Azure 또는 다른 클라우드에 있을 수 있습니다.
1.2 Linux 머신에 CEF 수집기 설치
Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.
- python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
- 머신에 상승된 권한(sudo)이 있어야 합니다.
다음 명령을 실행하여 CEF 수집기를 설치하고 적용합니다.
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Trend Micro Deep Security 로그를 Syslog 에이전트로 전달
CEF 형식의 Syslog 메시지를 프록시 컴퓨터로 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.
Trend Micro Deep Security 이벤트를 Syslog 에이전트로 전달합니다.
추가 정보는 이 기술 항목을 참조하여 CEF 형식을 사용하는 새 Syslog 구성을 정의하세요.
이러한 지침에 따라 이 새 구성을 사용하여 이벤트를 Syslog 에이전트로 전달하도록 Deep Security Manager를 구성합니다.
Trend Micro Deep Security 데이터를 제대로 쿼리하도록 TrendMicroDeepSecurity 함수를 저장해야 합니다.
연결 유효성 검사
지침에 따라 연결의 유효성을 검사합니다.
Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그가 수신되는지 확인합니다.
연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분 정도 걸릴 수 있습니다.
로그가 수신되지 않으면 다음 연결 유효성 검사 스크립트를 실행합니다.
- python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
- 머신에 상승된 권한(sudo)이 있어야 합니다.
다음 명령을 실행하여 연결의 유효성을 검사합니다.
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 컴퓨터 보호
머신 보안은 조직의 보안 정책에 따라 구성해야 합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.