AI Vectra Stream conector para Microsoft Sentinel
O conector AI Vectra Stream permite enviar metadados de rede coletados por sensores Vectra através da rede e nuvem para o Microsoft Sentinel
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | VectraStream_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Vectra AI |
Exemplos de consulta
Listar todas as consultas DNS
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
Número de solicitações DNS por tipo
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by type_name
Top 10 de consulta a domínio não existente
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
Host e sites usando troca de chaves Diffie-Hellman não efêmera
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
Pré-requisitos
Para integrar com o AI Vectra Stream, certifique-se de:
- Vectra AI Brain: deve ser configurado para exportar metadados do Stream em JSON
Instruções de instalação do fornecedor
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado VectraStream que é implantado com a solução Microsoft Sentinel.
- Instalar e integrar o agente para Linux
Instale o agente Linux na instância sperate Linux.
Os logs são coletados apenas de agentes Linux .
- Configurar os logs a serem coletados
Siga as etapas de configuração abaixo para obter metadados do Vectra Stream no Microsoft Sentinel. O agente do Log Analytics é aproveitado para enviar JSON personalizado para o Azure Monitor, permitindo o armazenamento dos metadados em uma tabela personalizada. Para obter mais informações, consulte a Documentação do Azure Monitor.
Baixe o arquivo de configuração para o agente de análise de log: VectraStream.conf (localizado na pasta Connector dentro da solução Vectra: https://aka.ms/sentinel-aivectrastream-conf).
Faça logon no servidor onde você instalou o agente do Azure Log Analytics.
Copie VectraStream.conf para a pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite o VectraStream.conf da seguinte forma:
i. Configure uma porta alternativa para enviar dados, se desejado. A porta padrão é 29009.
ii. substitua workspace_id pelo valor real do seu ID de espaço de trabalho.
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Configurar e conectar o Vectra AI Stream
Configure o Vectra AI Brain para encaminhar metadados do Stream no formato JSON para seu espaço de trabalho do Microsoft Sentinel por meio do Log Analytics Agent.
Na interface do usuário do Vectra, navegue até Settings > Cognito Stream e edite a configuração de destino:
Selecione o editor: RAW JSON
Defina o IP ou o nome do host do servidor (que é o host que executa o Agente do Log Analytics)
Defina toda a porta como 29009 (esta porta pode ser modificada se necessário)
Guardar
Definir tipos de log (Selecione todos os tipos de log disponíveis)
Clique em Guardar
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.