Trend Micro Deep Security-connector voor Microsoft Sentinel
Met de Trend Micro Deep Security-connector kunt u eenvoudig uw Deep Security-logboeken verbinden met Microsoft Sentinel, dashboards bekijken, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in de netwerken/systemen van uw organisatie en verbetert uw mogelijkheden voor beveiliging.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Kusto-functie-URL | https://aka.ms/TrendMicroDeepSecurityFunction |
| Log Analytics-tabellen | CommonSecurityLog (TrendMicroDeepSecurity) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Trend Micro |
Voorbeelden van query's
Inbraakpreventie-gebeurtenissen
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Intrusion Prevention"
| sort by TimeGenerated
Bewakingsactiviteiten voor integriteit
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Integrity Monitoring"
| sort by TimeGenerated
Firewall-gebeurtenissen
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Firewall Events"
| sort by TimeGenerated
Logboekinspectie-gebeurtenissen
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Log Inspection"
| sort by TimeGenerated
Antimalwaregebeurtenissen
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Anti-Malware"
| sort by TimeGenerated
Webreputatie-gebeurtenissen
TrendMicroDeepSecurity
| where DeepSecurityModuleName == "Web Reputation"
| sort by TimeGenerated
Installatie-instructies van leverancier
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
Trend Micro Deep Security-logboeken doorsturen naar Syslog-agent
Stel uw beveiligingsoplossing in om Syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken verzendt naar poort 514 TCP op het IP-adres van de computer.
Trend Micro Deep Security-gebeurtenissen doorsturen naar de Syslog-agent.
Definieer een nieuwe Syslog-configuratie die gebruikmaakt van de CEF-indeling door te verwijzen naar dit kennisartikel voor aanvullende informatie.
Configureer Deep Security Manager om deze nieuwe configuratie te gebruiken om gebeurtenissen door te sturen naar de Syslog-agent met behulp van deze instructies.
Zorg ervoor dat u de functie TrendMicroDeepSecurity opslaat, zodat er correct query's worden uitgevoerd op de Trend Micro Deep Security-gegevens.
Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor