Udostępnij za pośrednictwem


[Przestarzałe] Trend Micro Apex One za pośrednictwem łącznika starszego agenta dla usługi Microsoft Sentinel

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik danych Trend Micro Apex One umożliwia pozyskiwanie zdarzeń Trend Micro Apex One w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Trend Micro Apex Central.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics CommonSecurityLog (TrendMicroApexOne)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Wszystkie dzienniki


TMApexOneEvent

| sort by TimeGenerated

Instrukcje instalacji dostawcy

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami TMApexOneEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

Uwaga

Ten łącznik danych został opracowany przy użyciu rozwiązania Trend Micro Apex Central 2019

  1. Konfiguracja agenta syslogu systemu Linux

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny z systemem Linux

Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux

Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Przekazywanie dzienników common Event Format (CEF) do agenta dziennika systemowego

Wykonaj następujące kroki , aby skonfigurować usługę Apex Central wysyłającą alerty za pośrednictwem dziennika systemowego. Podczas konfigurowania w kroku 6 wybierz format dziennika CEF.

  1. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie

Uruchom następujące polecenie, aby zweryfikować łączność:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.