Tenable Identity Exposure-connector voor Microsoft Sentinel

Met de connector Voor tenable Identity Exposure kunnen indicatoren van blootstelling, indicatoren van aanvals- en trailflowlogboeken worden opgenomen in Microsoft Sentinel. Met de verschillende werkboeken en gegevensparsers kunt u logboeken eenvoudiger bewerken en uw Active Directory-omgeving bewaken. Met de analysesjablonen kunt u reacties automatiseren met betrekking tot verschillende gebeurtenissen, blootstellingen en aanvallen.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector	Beschrijving
Kusto-functiealias	afad_parser
Log Analytics-tabellen	Tenable_IE_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Houdbaar

Voorbeelden van query's

Het aantal waarschuwingen ophalen dat wordt geactiveerd door elke IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Alle IoE-waarschuwingen met ernst boven de drempelwaarde ophalen

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Alle IoE-waarschuwingen voor de afgelopen 24 uur ophalen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Alle IoE-waarschuwingen voor de afgelopen 7 dagen ophalen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Alle IoE-waarschuwingen voor de afgelopen 30 dagen ophalen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Alle trailflowwijzigingen voor de afgelopen 24 uur ophalen

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Alle trailflowwijzigingen voor de afgelopen 7 dagen ophalen

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Het aantal waarschuwingen ophalen dat wordt geactiveerd door elke IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Alle IoA-waarschuwingen voor de afgelopen 30 dagen ophalen

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Vereisten

Als u wilt integreren met Tenable Identity Exposure, moet u het volgende hebben:

• Toegang tot TenableIE-configuratie: machtigingen voor het configureren van de syslog-waarschuwingsengine

Installatie-instructies van leverancier

Deze gegevensconnector is afhankelijk van afad_parser op basis van een Kusto-functie die werkt zoals verwacht, die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.

1. De Syslog-server configureren

   U hebt eerst een Linux Syslog-server nodig waarnaar TenableIE logboeken verzendt. Normaal gesproken kunt u rsyslog uitvoeren op Ubuntu. U kunt deze server vervolgens naar wens configureren, maar het wordt aanbevolen om TenableIE-logboeken in een afzonderlijk bestand uit te voeren.

   Configureer rsyslog om logboeken van uw TenableIE IP-adres te accepteren.:

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. De Microsoft-agent voor Linux installeren en onboarden

   De OMS-agent ontvangt de TenableIE syslog-gebeurtenissen en publiceert deze in Microsoft Sentinel.

3. Agentlogboeken controleren op de Syslog-server

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. TenableIE configureren voor het verzenden van logboeken naar uw Syslog-server

   Ga in uw TenableIE-portal naar System, Configuration en vervolgens Syslog. Hier kunt u een nieuwe Syslog-waarschuwing voor uw Syslog-server maken.

   Zodra dit is gebeurd, controleert u of de logboeken correct zijn verzameld op uw server in een afzonderlijk bestand (hiervoor kunt u de knop De configuratie testen in de configuratie van de Syslog-waarschuwing in TenableIE gebruiken). Als u de quickstart-sjabloon hebt gebruikt, luistert de Syslog-server standaard op poort 514 in UDP en 1514 in TCP, zonder TLS.

5. De aangepaste logboeken configureren

Configureer de agent om de logboeken te verzamelen.

1. Ga in Microsoft Sentinel naar Configuratie ->Instellingen ->Werkruimte-instellingen -> Aangepaste logboeken.

2. Klik op Aangepast logboek toevoegen.

3. Upload een voorbeeldbestand TenableIE.log Syslog vanaf de Linux-computer waarop de Syslog-server wordt uitgevoerd en klik op Volgende

4. Stel het recordscheidingsteken in op Nieuwe regel als dit nog niet het geval is en klik op Volgende.

5. Selecteer Linux en voer het bestandspad naar het Syslog-bestand in en klik vervolgens op + Volgende. De standaardlocatie van het bestand is /var/log/TenableIE.log als u een tenable versie <3.1.0 hebt, moet u ook deze Linux-bestandslocatie /var/log/AlsidForAD.logtoevoegen.

6. Stel de naam in op Tenable_IE_CL (Azure voegt automatisch _CL toe aan het einde van de naam, er moet slechts één zijn, zorg ervoor dat de naam niet Tenable_IE_CL_CL).

7. Klik op Volgende, u ziet een cv en klik vervolgens op Maken.

8. Veel plezier!

U moet nu logboeken kunnen ontvangen in de Tenable_IE_CL tabel, logboekgegevens kunnen worden geparseerd met behulp van de functie afad_parser(), die wordt gebruikt door alle queryvoorbeelden, werkmappen en analysesjablonen.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.