[Afgeschaft] Nozomi Networks N2OS via legacy agent-connector voor Microsoft Sentinel
De Nozomi Networks-gegevensconnector biedt de mogelijkheid om Nozomi Networks-gebeurtenissen op te nemen in Microsoft Sentinel. Raadpleeg de PDF-documentatie van Nozomi Networks voor meer informatie.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Omschrijving |
---|---|
Log Analytics-tabellen | CommonSecurityLog (NozomiNetworks) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 apparaten
NozomiNetworksEvents
| summarize count() by DvcHostname
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht NozomiNetworksEvents dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- CEF-logboeken (Common Event Format) doorsturen naar syslog-agent
Volg deze stappen om het Nozomi Networks-apparaat te configureren voor het verzenden van waarschuwingen, auditlogboeken, statuslogboeken via syslog in CEF-indeling:
- Meld u aan bij de Guardian-console.
- Navigeer naar Beheer-Data-Integratie>, druk op +Toevoegen en selecteer de CEF (Common Event Format) in de vervolgkeuzelijst
- Maak een nieuw eindpunt met behulp van de juiste hostgegevens en schakel waarschuwingen, auditlogboeken, statuslogboeken in voor verzending.
- Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.