Łącznik ekspozycji tożsamości z możliwością obsługi dzierżawy dla usługi Microsoft Sentinel
Łącznik ekspozycji na tożsamości możliwe do obsługi umożliwia pozyskiwanie wskaźników ekspozycji, wskaźników ataków i dzienników przepływu dziennika do usługi Microsoft Sentinel. Różne podręczniki robocze i analizatory danych umożliwiają łatwiejsze manipulowanie dziennikami i monitorowanie środowiska usługi Active Directory. Szablony analityczne umożliwiają automatyzowanie odpowiedzi dotyczących różnych zdarzeń, ekspozycji i ataków.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Alias funkcji Kusto | afad_parser |
| Tabele usługi Log Analytics | Tenable_IE_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Utrzymania |
Przykłady zapytań
Pobieranie liczby alertów wyzwalanych przez każde IoE
afad_parser
| where MessageType == 0
| summarize AlertCount = count() by Codename
Uzyskiwanie wszystkich alertów IoE o ważności wyższej niż próg
let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser
| where MessageType == 0
| lookup kind=leftouter SeverityTable on Severity
| where Level >= ['threshold']
Pobieranie wszystkich alertów IoE z ostatnich 24 godzin
afad_parser
| where MessageType == 0 and TimeGenerated > ago(1d)
Pobieranie wszystkich alertów IoE z ostatnich 7 dni
afad_parser
| where MessageType == 0 and TimeGenerated > ago(7d)
Pobieranie wszystkich alertów IoE z ostatnich 30 dni
afad_parser
| where MessageType == 0 and TimeGenerated > ago(30d)
Pobieranie wszystkich zmian przepływu końcowego w ciągu ostatnich 24 godzin
afad_parser
| where MessageType == 1 and TimeGenerated > ago(1d)
Pobieranie wszystkich zmian przepływu dziennika w ciągu ostatnich 7 dni
afad_parser
| where MessageType == 1 and TimeGenerated > ago(7d)
Pobieranie liczby alertów wyzwalanych przez każde IoA
afad_parser
| where MessageType == 2
| summarize AlertCount = count() by Codename
Pobieranie wszystkich alertów IoA z ostatnich 30 dni
afad_parser
| where MessageType == 2 and TimeGenerated > ago(30d)
Wymagania wstępne
Aby zintegrować aplikację Tenable Identity Exposure, upewnij się, że:
- Dostęp do konfiguracji tenableIE: uprawnienia do konfigurowania aparatu alertów dziennika systemowego
Instrukcje instalacji dostawcy
Ten łącznik danych zależy od afad_parser w oparciu o funkcję Kusto, która działa zgodnie z oczekiwaniami, która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
Konfigurowanie serwera Syslog
Najpierw będzie potrzebny serwer Syslog systemu Linux, do którego będzie wysyłać dzienniki TenableIE. Zazwyczaj można uruchomić program rsyslog w systemie Ubuntu. Następnie można skonfigurować ten serwer w taki sposób, jak chcesz, ale zaleca się, aby możliwe było wyprowadzenie dzienników TenableIE w osobnym pliku.
Skonfiguruj serwer rsyslog, aby akceptował dzienniki z adresu IP TenableIE.
sudo -i # Set TenableIE source IP address export TENABLE_IE_IP={Enter your IP address} # Create rsyslog configuration file cat > /etc/rsyslog.d/80-tenable.conf << EOF \$ModLoad imudp \$UDPServerRun 514 \$ModLoad imtcp \$InputTCPServerRun 514 \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n" \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log" *.* ?remote-incoming-logs;MsgTemplate EOF # Restart rsyslog systemctl restart rsyslogInstalowanie i dołączanie agenta firmy Microsoft dla systemu Linux
Agent pakietu OMS otrzyma zdarzenia dziennika systemowego TenableIE i opublikuje je w usłudze Microsoft Sentinel.
Sprawdzanie dzienników agenta na serwerze Syslog
tail -f /var/opt/microsoft/omsagent/log/omsagent.logKonfigurowanie programu TenableIE w celu wysyłania dzienników do serwera Syslog
W portalu TenableIE przejdź do pozycji System, Konfiguracja, a następnie Pozycję Syslog. W tym miejscu możesz utworzyć nowy alert syslog w kierunku serwera Syslog.
Po wykonaniu tej czynności sprawdź, czy dzienniki są prawidłowo zbierane na serwerze w osobnym pliku (w tym celu możesz użyć przycisku Testuj konfigurację w konfiguracji alertu syslog w programie TenableIE). Jeśli użyto szablonu Szybkiego startu, serwer Syslog będzie domyślnie nasłuchiwać na porcie 514 w UDP i 1514 w protokole TCP bez protokołu TLS.
Konfigurowanie dzienników niestandardowych
Skonfiguruj agenta do zbierania dzienników.
W usłudze Microsoft Sentinel przejdź do pozycji Konfiguracja -Ustawienia ->Ustawienia obszaru> roboczego ->Dzienniki niestandardowe.
Kliknij pozycję Dodaj dziennik niestandardowy.
Przekaż przykładowy plik dziennika systemu TenableIE.log z maszyny z systemem Linux z uruchomionym serwerem Syslog i kliknij przycisk Dalej
Ustaw ogranicznik rekordu na Nowy wiersz , jeśli jeszcze tego nie zrobiono, a następnie kliknij przycisk Dalej.
Wybierz pozycję Linux i wprowadź ścieżkę pliku do pliku Syslog, kliknij przycisk Dalej.+ Domyślną lokalizacją pliku jest
/var/log/TenableIE.logto, że masz wersję <3.1.0 z możliwością korzystania z wersji 3.1.0, musisz również dodać tę lokalizację/var/log/AlsidForAD.logpliku systemu Linux.Ustaw wartość Nazwa na Tenable_IE_CL (platforma Azure automatycznie dodaje _CL na końcu nazwy, musi być tylko jedna, upewnij się, że nazwa nie jest Tenable_IE_CL_CL).
Kliknij przycisk Dalej, zobaczysz życiorys, a następnie kliknij przycisk Utwórz.
Owocnej pracy.
Teraz powinno być możliwe odbieranie dzienników w tabeli Tenable_IE_CL , dane dzienników mogą być analizowane przy użyciu funkcji afad_parser(), używanej przez wszystkie przykłady zapytań, skoroszyty i szablony analityczne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.