Tenable Identity Exposure connector para Microsoft Sentinel

O conector Tenable Identity Exposure permite que Indicadores de Exposição, Indicadores de Ataque e logs de trailflow sejam ingeridos no Microsoft Sentinel.Os diferentes livros de trabalho e analisadores de dados permitem que você manipule logs e monitore seu ambiente do Ative Directory com mais facilidade. Os modelos analíticos permitem automatizar respostas relativas a diferentes eventos, exposições e ataques.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector	Description
Alias de função Kusto	afad_parser
Tabela(s) do Log Analytics	Tenable_IE_CL
Suporte a regras de coleta de dados	Não é suportado atualmente
Apoiado por	Tenable

Exemplos de consulta

Obter o número de alertas acionados por cada IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Obtenha todos os alertas da IoE com gravidade superior ao limite

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Receba todos os alertas da IoE das últimas 24 horas

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Receba todos os alertas da IoE nos últimos 7 dias

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Receba todos os alertas da IoE dos últimos 30 dias

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Obtenha todas as alterações de fluxo de trilha nas últimas 24 horas

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Obtenha todas as alterações de trailflow nos últimos 7 dias

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Obter o número de alertas acionados por cada IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Receba todos os alertas da IoA nos últimos 30 dias

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Pré-requisitos

Para integrar com o Tenable Identity Exposure, certifique-se de:

• Acesso à configuração do TenableIE: permissões para configurar o mecanismo de alerta syslog

Instruções de instalação do fornecedor

Esse conector de dados depende de afad_parser baseado em uma Função Kusto para funcionar conforme o esperado, que é implantado com a Solução Microsoft Sentinel.

1. Configurar o servidor Syslog

   Primeiro, você precisará de um servidor linux Syslog para o qual o TenableIE enviará logs. Normalmente, você pode executar rsyslog no Ubuntu. Em seguida, você pode configurar esse servidor como desejar, mas é recomendável ser capaz de produzir logs do TenableIE em um arquivo separado.

   Configure o rsyslog para aceitar logs do seu endereço IP TenableIE.:

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Instalar e integrar o agente da Microsoft para Linux

   O agente do OMS receberá os eventos syslog do TenableIE e os publicará no Microsoft Sentinel.

3. Verificar os logs do agente no servidor Syslog

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. Configure o TenableIE para enviar logs para o servidor Syslog

   No seu portal TenableIE, vá para Sistema, Configuração e, em seguida, Syslog. A partir daí, você pode criar um novo alerta Syslog para o seu servidor Syslog.

   Feito isso, verifique se os logs estão reunidos corretamente em seu servidor em um arquivo separado (para fazer isso, você pode usar o botão Testar a configuração na configuração de alerta do Syslog no TenableIE). Se você usou o modelo de início rápido, o servidor Syslog escutará por padrão na porta 514 em UDP e 1514 em TCP, sem TLS.

5. Configurar os logs personalizados

Configure o agente para coletar os logs.

1. No Microsoft Sentinel, vá para Configuration ->Settings ->Workspace settings ->Custom logs.

2. Clique em Adicionar log personalizado.

3. Carregue um exemplo TenableIE.log arquivo Syslog da máquina Linux que executa o servidor Syslog e clique em Avançar

4. Defina o delimitador de registro como Nova Linha , se ainda não for o caso, e clique em Avançar.

5. Selecione Linux e insira o caminho do arquivo para o arquivo Syslog, clique em seguida, em seguida, Avançar+. O local padrão do arquivo é /var/log/TenableIE.log se você tiver um Tenable versão <3.1.0, você também deve adicionar este local /var/log/AlsidForAD.logde arquivo linux .

6. Defina o Nome como Tenable_IE_CL (o Azure adiciona automaticamente _CL no final do nome, deve haver apenas um, certifique-se de que o nome não está Tenable_IE_CL_CL).

7. Clique em Avançar, você verá um currículo e, em seguida, clique em Criar.

8. Desfrute!

Agora você deve ser capaz de receber logs na tabela Tenable_IE_CL , os dados de logs podem ser analisados usando a função afad_parser(), usada por todos os exemplos de consulta, pastas de trabalho e modelos analíticos.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.