[Afgeschaft] Akamai Security Events via legacy agent-connector voor Microsoft Sentinel
Akamai Solution voor Microsoft Sentinel biedt de mogelijkheid om Akamai Security Events op te nemen in Microsoft Sentinel. Raadpleeg de documentatie voor Akamai SIEM-integratie voor meer informatie.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Omschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (AkamaiSecurityEvents) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 landen
AkamaiSIEMEvent
| summarize count() by SrcGeoCountry
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser die is gebaseerd op een Kusto-functie om te werken zoals verwacht. Deze wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel-logboeken, klikt u op Functies en zoekt u naar de alias Akamai Security Events en laadt u de functiecode. Klik hier op de tweede regel van de query en voer de hostnaam(s) van uw Akamai Security Events-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten voordat de functie wordt geactiveerd na de installatie/update van de oplossing.
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- CEF-logboeken (Common Event Format) doorsturen naar syslog-agent
Volg deze stappen om de Akamai CEF-connector te configureren voor het verzenden van Syslog-berichten in CEF-indeling naar de proxycomputer. Zorg ervoor dat u de logboeken naar poort 514 TCP verzendt op het IP-adres van de computer.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.