[Afgeschaft] Het Security Center van Azure via de connector van de verouderde agent voor Microsoft Sentinel
De dataconnector van Het Security Center van Microsoft Security Center biedt de mogelijkheid om Logboeken van Het Security Center op te nemen in Microsoft Sentinel.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Omschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (Azure Azure Security) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 bestemmingen
KasperskySCEvent
| where isnotempty(DstIpAddr)
| summarize count() by DstIpAddr
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser die is gebaseerd op een Kusto-functie, zodat deze werkt zoals verwacht . Deze is geïmplementeerd met de Microsoft Sentinel-oplossing.
Notitie
Deze gegevensconnector is ontwikkeld met Behulp van Het Security Center 13.1.
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-computer die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze computer kan zich in uw on-premises omgeving, Microsoft of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configureer Het Security Center voor het verzenden van logboeken met CEF
Volg de instructies voor het configureren van gebeurtenisexport vanuit Het Beveiligingscentrum van Security Center.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.