Udostępnij za pośrednictwem

[Przestarzałe] FireEye Network Security (NX) za pośrednictwem łącznika starszej wersji agenta dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych FireEye Network Security (NX) zapewnia możliwość pozyskiwania dzienników zabezpieczeń sieci FireEye do usługi Microsoft Sentinel.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics CommonSecurityLog (FireEyeNX)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

10 najlepszych źródeł

FireEyeNXEvent

| where isnotempty(SrcIpAddr)
 
| summarize count() by SrcIpAddr

| top 10 by count_

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami FireEyeNXEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

Uwaga

Ten łącznik danych został opracowany przy użyciu wersji FEOS w wersji 9.0

  1. Konfiguracja agenta syslogu systemu Linux

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny z systemem Linux

Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux

Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Konfigurowanie programu FireEye NX do wysyłania dzienników przy użyciu formatu CEF

Wykonaj następujące kroki, aby wysłać dane przy użyciu formatu CEF:

2.1. Zaloguj się do urządzenia FireEye przy użyciu konta administratora

2.2. Kliknij Ustawienia

2.3. Kliknij pozycję Powiadomienia

Kliknij pozycję rsyslog

2.4. Zaznacz pole wyboru Typ zdarzenia

2.5. Upewnij się, że ustawienia rsyslog to:

  • Format domyślny: CEF

  • Domyślne dostarczanie: na zdarzenie

  • Domyślne wysyłanie jako: Alert

  1. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie

Uruchom następujące polecenie, aby zweryfikować łączność:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.