[Не рекомендуется] Netwrix Auditor с помощью соединителя устаревших агентов для Microsoft Sentinel
Соединитель данных Аудитора Netwrix предоставляет возможность приема событий Netwrix Auditor (ранее — Stealthbits Privileged Activity Manager) в Microsoft Sentinel. Дополнительные сведения см. в документации по Netwrix.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | NetwrixAuditor |
| URL-адрес функции Kusto | https://aka.ms/sentinel-netwrixauditor-parser |
| Таблицы Log Analytics | CommonSecurityLog |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
События аудитора Netwrix — все действия.
NetwrixAuditor
| sort by TimeGenerated desc
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа NetwrixAuditor на основе функции Kusto для работы должным образом. Этот средство синтаксического анализа устанавливается вместе с установкой решения.
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Настройка Netwrix Auditor для отправки журналов с помощью CEF
Следуйте инструкциям по настройке экспорта событий из Netwrix Auditor.
- Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.