WithSecure Elements via connector for Microsoft Sentinel
WithSecure Elements to ujednolicona platforma zabezpieczeń cybernetycznych oparta na chmurze. Łącząc się z elementami WithSecure za pośrednictwem Połączenie or z usługą Microsoft Sentinel, zdarzenia zabezpieczeń mogą być odbierane w formacie Common Event Format (CEF) za pośrednictwem dziennika systemowego. Wymaga wdrożenia elementu "Elements Połączenie or" lokalnie lub w chmurze. Format Common Event Format (CEF) zapewnia natywne wyszukiwanie i korelację, alerty i wzbogacanie analizy zagrożeń dla każdego dziennika danych.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | CommonSecurityLog (WithSecure Events) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | WithSecure (Zabezpieczeń) |
Przykłady zapytań
Wszystkie dzienniki
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
Instrukcje instalacji dostawcy
- Konfiguracja agenta syslogu systemu Linux
Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.
Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym
1.1 Wybieranie lub tworzenie maszyny z systemem Linux
Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem WithSecurity i usługą Sentinel. Komputer może być środowiskiem lokalnym, platformą Microsoft Azure lub inną chmurą.
System Linux musi być
syslog-ngzainstalowany ipython/python3zainstalowany.
1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux
Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.
Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
W przypadku języka Python3 użyj poniższego polecenia:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- Przekazywanie danych z programu WithSecure Elements Połączenie or do agenta syslog
W tym artykule opisano sposób instalowania i konfigurowania elementów Połączenie or krok po kroku.
2.1 Subskrypcja Połączenie or zamówienia
Jeśli subskrypcja Połączenie or nie została jeszcze zamówiona, przejdź do strony EPP w portalu elementów. Następnie przejdź do sekcji Pliki do pobrania i w sekcji Elementy Połączenie or kliknij przycisk "Utwórz klucz subskrypcji". Klucz subskrypcji można sprawdzić w obszarze Subskrypcje.
2.2 Pobieranie Połączenie or
Przejdź do pozycji Pliki do pobrania i w sekcji WithSecure Elements Połączenie or wybierz prawidłowy instalator.
2.3 Tworzenie klucza interfejsu API zarządzania
Gdy w witrynie EPP otwórz ustawienia konta w prawym górnym rogu. Następnie wybierz pozycję Pobierz klucz interfejsu API zarządzania. Jeśli klucz został utworzony wcześniej, można go również odczytać.
2.4 Instalowanie Połączenie or
Aby zainstalować program Elements Połączenie or, postępuj zgodnie z instrukcjami Elements Połączenie or Docs.
2.5. Konfigurowanie przekazywania zdarzeń
Jeśli dostęp do interfejsu API nie został skonfigurowany podczas instalacji, postępuj zgodnie z instrukcjami Konfigurowanie dostępu interfejsu API dla Połączenie or elementów. Następnie przejdź do strony EPP, a następnie wybierz pozycję Profile, a następnie użyj pozycji For Połączenie or (W przypadku Połączenie or), z której można wyświetlić profile łączników. Utwórz nowy profil (lub edytuj istniejący profil nie tylko do odczytu). W obszarze Przekazywanie zdarzeń włącz je. Adres systemu SIEM: 127.0.0.1:514. Ustaw format na Common Event Format. Protokół to TCP. Zapisz profil i przypisz go do pozycji Elementy Połączenie or na karcie Urządzenia.
- Weryfikowanie połączenia
Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:
Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.
Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.
Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:
- Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
- Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie
Uruchom następujące polecenie, aby zweryfikować łączność:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
W przypadku języka Python3 użyj poniższego polecenia:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla