[Не рекомендуется] Пробуждение безопасности с помощью соединителя устаревшего агента для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель Awake Security CEF позволяет пользователям отправлять совпадения модели обнаружения с платформы безопасности Awake в Microsoft Sentinel. Быстро устраняйте угрозы с помощью возможности обнаружения сети и реагирования и ускоряйте исследования с глубокой видимостью, особенно в неуправляемых сущностях, включая пользователей, устройств и приложений в вашей сети. Соединитель также обеспечивает создание пользовательских оповещений, инцидентов, книг и записных книжек, ориентированных на безопасность сети, которые соответствуют существующим рабочим процессам операций безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (AwakeSecurity) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Arista — Awake Security |
Примеры запросов
Первые 5 состязательной модели соответствуют серьезности
union CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| summarize TotalActivities=sum(EventCount) by Activity,LogSeverity
| top 5 by LogSeverity desc
Лучшие 5 устройств по оценке риска устройств
CommonSecurityLog
| where DeviceVendor == "Arista Networks" and DeviceProduct == "Awake Security"
| extend DeviceCustomNumber1 = coalesce(column_ifexists("FieldDeviceCustomNumber1", long(null)), DeviceCustomNumber1, long(null))
| summarize MaxDeviceRiskScore=max(DeviceCustomNumber1),TimesAlerted=count() by SourceHostName=coalesce(SourceHostName,"Unknown")
| top 5 by MaxDeviceRiskScore desc
Инструкции по установке поставщика
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Переадресация результатов сопоставления с состязательной модели сборщику CEF.
Выполните следующие действия, чтобы перенаправить результаты сопоставления Awake состязательной модели в сборщик CEF, прослушивающий TCP-порт 514 по IP 192.168.0.1:
- Перейдите на страницу "Навыки управления обнаружением" в пользовательском интерфейсе Awake.
- Нажмите кнопку +Добавить новый навык.
- Задайте для поля выражения значение,
integrations.cef.tcp { destination: "192.168.0.1", порт: 514, безопасный: false, серьезность: Предупреждение }
- Задайте для поля Title описательное имя, например:
Результат совпадения с состязательной модели в Microsoft Sentinel вперед.
- Задайте идентификатор ссылки на что-то легко обнаруживаемое, например,
integrations.cef.sentinel-forwarder
- Нажмите кнопку Сохранить.
Примечание. В течение нескольких минут после сохранения определения и других полей система начнет отправлять новые результаты сопоставления моделей сборщику событий CEF по мере их обнаружения.
Дополнительные сведения см. на странице добавления сведений о безопасности и push-интеграции управления событиями из документации справки в пользовательском интерфейсе пробуждения.
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.