Соединитель раскрытия удостоверений для Microsoft Sentinel

Соединитель для проверки подлинности удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов отслеживания данных в Microsoft Sentinel.Различные рабочие книги и средства анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы по различным событиям, воздействиям и атакам.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя	Description
Псевдоним функции Kusto	afad_parser
Таблицы Log Analytics	Tenable_IE_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Tenable

Примеры запросов

Получение количества оповещений, активированных каждым IoE

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Получение всех оповещений IoE с уровнем серьезности выше порогового значения

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Получение всех оповещений IoE за последние 24 часа

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Получение всех оповещений IoE за последние 7 дней

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Получение всех оповещений IoE за последние 30 дней

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Получение всех изменений потока следов за последние 24 часа

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Получение всех изменений потока следа за последние 7 дней

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Получение количества оповещений, активированных каждым IoA

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Получение всех оповещений IoA за последние 30 дней

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Необходимые компоненты

Чтобы интегрировать с Tenable Identity Exposure, убедитесь, что у вас есть:

• Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала

Инструкции по установке поставщика

Этот соединитель данных зависит от afad_parser на основе функции Kusto, которая должна работать должным образом, которая развернута с помощью решения Microsoft Sentinel.

1. Настройка сервера Syslog

   Сначала вам потребуется сервер системного журнала Linux, в который TenableIE будут отправляться журналы. Обычно используется rsyslog под управлением Ubuntu. Затем этот сервер можно настроить как нужно, но рекомендуется выводить журналы TenableIE в отдельном файле.

   Настройте rsyslog для приема журналов с IP-адреса TenableIE.:

   sudo -i
   
   # Set TenableIE source IP address
   export TENABLE_IE_IP={Enter your IP address}
   
   # Create rsyslog configuration file
   cat > /etc/rsyslog.d/80-tenable.conf << EOF
   \$ModLoad imudp
   \$UDPServerRun 514
   \$ModLoad imtcp
   \$InputTCPServerRun 514
   \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
   \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
   \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
   \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
   *.* ?remote-incoming-logs;MsgTemplate
   EOF
   
   # Restart rsyslog
   systemctl restart rsyslog
   

2. Установка и подключение агента Microsoft для Linux

   Агент OMS получит события системного журнала TenableIE и опубликует его в Microsoft Sentinel.

3. Проверка журналов агента на сервере Системного журнала

   tail -f /var/opt/microsoft/omsagent/log/omsagent.log
   

4. Настройка TenableIE для отправки журналов на сервер Syslog

   На портале TenableIE перейдите в систему, конфигурацию и системный журнал. Здесь можно создать новое оповещение системного журнала для сервера системного журнала.

   После этого убедитесь, что журналы правильно собираются на сервере в отдельном файле (для этого можно использовать кнопку "Проверить конфигурацию " в конфигурации оповещения системного журнала в TenableIE). Если вы использовали шаблон быстрого запуска, сервер Syslog по умолчанию будет ожидать передачи данных на порту 514 при использовании UDP и на порту 1514 при использовании TCP без TLS.

5. Настройка пользовательских журналов

Настройте агент для сбора журналов.

1. В Microsoft Sentinel перейдите к разделу Configuration ->Settings ->Workspace settings ->Custom logs.

2. Нажмите кнопку "Добавить пользовательский журнал".

3. Отправка примера TenableIE.log файла системного журнала с компьютера Linux с сервера Системного журнала и нажмите кнопку "Далее"

4. Задайте для разделителя записей значение New Line , если дело еще не задано, и нажмите кнопку "Далее".

5. Выберите Linux и введите путь к файлу системного журнала, нажмите кнопку + "Далее". Расположение файла по умолчанию — /var/log/TenableIE.log если у вас есть tenable версия <3.1.0, необходимо также добавить это расположение /var/log/AlsidForAD.logфайла Linux.

6. Задайте для имени значение Tenable_IE_CL (Azure автоматически добавляет _CL в конце имени, должно быть только одно, убедитесь, что имя не Tenable_IE_CL_CL).

7. Нажмите кнопку "Далее", вы увидите резюме, а затем нажмите кнопку "Создать".

8. Вот и все!

Теперь вы сможете получать журналы в таблице Tenable_IE_CL, данные журналов можно анализировать с помощью функции afad_parser(), используемой всеми примерами запросов, книгами и шаблонами аналитики.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.